Un malware evasivo recién descubierto aprovecha Secure Shell (SSH) protocolo criptográfico para acceder a sistemas específicos con el objetivo de minar criptomonedas y llevar a cabo ataques de denegación de servicio distribuido (DDoS).
Doblado KmsdBot por el Equipo de respuesta de inteligencia de seguridad de Akamai (SIRT), el malware basado en Golang se ha encontrado dirigido a una variedad de empresas que van desde juegos hasta marcas de automóviles de lujo y empresas de seguridad.
“La botnet infecta los sistemas a través de una conexión SSH que utiliza credenciales de inicio de sesión débiles”, investigador de Akamai Larry W. Cashdollar dijo. “El malware no permanece persistente en el sistema infectado como una forma de evadir la detección”.
El malware recibe su nombre de un ejecutable llamado “kmsd.exe” que se descarga de un servidor remoto luego de un compromiso exitoso. También está diseñado para admitir varias arquitecturas, como Winx86, Arm64, mips64 y x86_64.
KmsdBot viene con capacidades para realizar operaciones de escaneo y propagarse descargando una lista de combinaciones de nombre de usuario y contraseña. También está equipado para controlar el proceso de minería y actualizar el malware.
Akamai dijo que el primer objetivo observado del malware fue una empresa de juegos llamada CincoMun mod multijugador para Grand Theft Auto V que permite a los jugadores acceder a servidores de rol personalizados.
los ataques DDoS observados por la empresa de infraestructura web incluyen Ataques de capa 4 y capa 7en el que se envía una avalancha de solicitudes TCP, UDP o HTTP GET para abrumar los recursos de un servidor de destino y obstaculizar su capacidad de procesamiento y respuesta.
“Esta botnet es un gran ejemplo de la complejidad de la seguridad y de cuánto evoluciona”, dijo Cashdollar. “Lo que parece haber comenzado como un bot para una aplicación de juego se ha convertido en un ataque a las grandes marcas de lujo”.
Los hallazgos se producen cuando el software vulnerable se usa cada vez más para implementar mineros de criptomonedas, saltando del 12% en el primer trimestre de 2022 al 17% en el tercer trimestre, según datos de telemetría de Kaspersky. Casi la mitad de las muestras analizadas de software de minería malicioso (48%) extraen en secreto Monero (XMR).
“Curiosamente, el país más atacado en el tercer trimestre de 2022 fue Etiopía (2,38%), donde es ilegal usar y minar criptomonedas”, la empresa rusa de ciberseguridad. dijo. “Kazajstán (2,13%) y Uzbekistán (2,01%) siguen en segundo y tercer lugar”.
About the Author
