Los investigadores de ciberseguridad han arrojado luz sobre una botnet de minería de criptomonedas «autopropagante» convocatoria Proscrito (igualmente conocido como Dota) que es conocido por apuntar a servidores SSH con credenciales débiles.
«Outlaw es un malware de Linux que se sostén en ataques de fuerza bruta SSH, minería de criptomonedas y propagación similar a un tenia para infectar y permanecer el control sobre los sistemas», dijo Elastic Security Labs en un nuevo prospección publicado el martes.
Outlaw igualmente es el nombre hexaedro a los actores de amenaza detrás del malware. Se cree que es de origen rumano. Otros grupos de piratería que dominan el panorama criptojacking incluyen 8220, Keksec (igualmente conocido como Kek Security), Kinsing y TeamTnt.
Activo desde al menos a fines de 2018, el equipo de piratería tiene servidores SSH forzados con bruto, abusando del punto de apoyo para arrostrar a lengua el registro y permanecer la persistencia en los hosts comprometidos al añadir sus propias claves SSH al archivo «autorizado_keys».
Igualmente se sabe que los atacantes incorporan un proceso de infección en varias etapas que implica el uso de un script de shell dropper («TDDWRT7S.SH») para descargar un archivo de archivo («dota3.tar.gz»), que luego se desempaquetan para editar al minero y al mismo tiempo tomar medidas para eliminar trazas de compromisos pasados y matar tanto a la competencia como a sus propios mineros anteriores.
Una característica sobresaliente del malware es un componente de acercamiento auténtico (igualmente conocido como Blitz) que permite la autopropagación del malware de guisa similar a la botnet escaneando sistemas vulnerables que ejecutan un servicio SSH. El módulo Brute-Force está configurado para obtener una letanía de destino de un servidor de comando y control SSH (C2) para perpetuar aún más el ciclo.
Algunas iteraciones de los ataques igualmente han recurrido a la explotación de sistemas operativos basados en Linux y UNIX susceptibles a CVE-2016-8655 y CVE-2016-5195 (igualmente conocido como becerra sucia), así como sistemas de ataque con credenciales de Telnet débiles. Al obtener acercamiento auténtico, el malware implementa Shellbot para el control remoto a través de un servidor C2 utilizando un canal IRC.
Shellbot, por su parte, permite la ejecución de comandos de shell arbitrarios, descarga y ejecuta cargas bártulos adicionales, pica ataques DDoS, roba credenciales y exfiltrata información confidencial.
Como parte de su proceso de minería, determina la CPU del sistema infectado y permite enormes páginas para que todos los núcleos de CPU aumenten la eficiencia del acercamiento a la memoria. El malware igualmente utiliza un binario llamado KSWAP01 para respaldar comunicaciones persistentes con la infraestructura del actor de amenaza.
«Outlaw permanece activo a pesar del uso de técnicas básicas como el forzamiento bruto SSH, la manipulación esencia SSH y la persistencia basada en Cron», dijo Elastic. «El malware despliega los mineros XMRIG modificados, aprovecha el IRC para C2 e incluye guiones disponibles públicamente para persistencia y esparcimiento de defensa».
