Un ataque de minería de criptomonedas dirigido al sistema operativo Linux también involucró el uso de un troyano de acceso remoto (RAT) de código abierto denominado CAOS.
La amenaza, que fue detectada por Trend Micro en noviembre de 2022, permanece prácticamente sin cambios en todos los demás aspectos, incluso cuando se trata de eliminar el malware de la competencia, el software de seguridad y la implementación del minero de criptomonedas Monero (XMR).
“El malware logra su persistencia alterando /etc/archivo crontabun programador de tareas de UNIX que, en este caso, se descarga cada 10 minutos desde Pastebin”, los investigadores David Fiser y Alfredo Oliveira dijo.
Este paso se logra mediante la descarga de las cargas útiles de la próxima etapa que consisten en el minero XMRig y el CHAOS RAT basado en Go.
La firma de seguridad cibernética dijo que el script de descarga principal y otras cargas útiles están alojadas en múltiples ubicaciones para garantizar que la campaña permanezca activa y que continúen ocurriendo nuevas infecciones.
CHAOS RAT, una vez descargado e iniciado, transmite metadatos detallados del sistema a un servidor remoto, y también viene con capacidades para realizar operaciones de archivos, tomar capturas de pantalla, apagar y reiniciar la computadora y abrir URL arbitrarias.
“En la superficie, la incorporación de una RAT en la rutina de infección de un malware de minería de criptomonedas puede parecer relativamente menor”, dijeron los investigadores.
“Sin embargo, dada la variedad de funciones de la herramienta y el hecho de que esta evolución muestra que los actores de amenazas basados en la nube aún están desarrollando sus campañas, es importante que tanto las organizaciones como las personas se mantengan más alertas en lo que respecta a la seguridad”.