{"id":1194558,"date":"2024-02-20T18:04:12","date_gmt":"2024-02-20T18:04:12","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-malware-migo-dirigido-a-servidores-redis-para-mineria-de-criptomonedas\/"},"modified":"2024-02-20T18:04:26","modified_gmt":"2024-02-20T18:04:26","slug":"nuevo-malware-migo-dirigido-a-servidores-redis-para-mineria-de-criptomonedas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-malware-migo-dirigido-a-servidores-redis-para-mineria-de-criptomonedas\/","title":{"rendered":"Nuevo malware Migo dirigido a servidores Redis para miner\u00eda de criptomonedas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>20 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad del servidor\/criptojacking<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha observado una nueva campa\u00f1a de malware dirigida a servidores Redis para acceso inicial con el objetivo final de extraer criptomonedas en hosts Linux comprometidos.<\/p>\n

“Esta campa\u00f1a en particular implica el uso de una serie de t\u00e9cnicas novedosas para debilitar el sistema contra el propio almac\u00e9n de datos”, dijo Matt Muir, investigador de seguridad de Cado. dicho<\/a> en un informe t\u00e9cnico.<\/p>\n

El ataque de criptojacking se ve facilitado por un malware con nombre en c\u00f3digo Migo, un binario Golang ELF que viene equipado con ofuscaci\u00f3n en tiempo de compilaci\u00f3n y la capacidad de persistir en m\u00e1quinas Linux.<\/p>\n

\"La<\/a><\/center><\/div>\n

La compa\u00f1\u00eda de seguridad en la nube dijo que detect\u00f3 la campa\u00f1a despu\u00e9s de identificar una “serie inusual de comandos” dirigidos a sus honeypots Redis que est\u00e1n dise\u00f1ados para reducir las defensas de seguridad al deshabilitar las siguientes opciones de configuraci\u00f3n:<\/p>\n

Se sospecha que estas opciones est\u00e1n desactivadas para enviar comandos adicionales al servidor Redis desde redes externas y facilitar una explotaci\u00f3n futura sin llamar mucho la atenci\u00f3n.<\/p>\n

A este paso le siguen los actores de amenazas que configuran dos claves Redis, una que apunta a una clave SSH controlada por el atacante y la otra a una tarea cron que recupera la carga principal maliciosa de un servicio de transferencia de archivos llamado Transfer.sh, una t\u00e9cnica detectada previamente. a principios de 2023.<\/p>\n

El script de shell para recuperar Migo usando Transfer.sh est\u00e1 incrustado dentro de un archivo Pastebin que, a su vez, se obtiene usando un comando curl o wget.<\/p>\n\n\n\n\n
\"Servidores<\/a><\/td>\n<\/tr>\n
Persistencia<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El binario ELF basado en Go, adem\u00e1s de incorporar mecanismos para resistir la ingenier\u00eda inversa, act\u00faa como descargador de un instalador XMRig alojado en GitHub. Tambi\u00e9n es responsable de realizar una serie de pasos para establecer la persistencia, eliminar a los mineros competidores y lanzar el minero.<\/p>\n

Adem\u00e1s de eso, Migo desactiva Linux con seguridad mejorada (SELinux<\/a>) y busca scripts de desinstalaci\u00f3n para agentes de monitoreo incluidos en instancias inform\u00e1ticas de proveedores de nube como Qcloud y Alibaba Cloud. Adem\u00e1s, implementa una versi\u00f3n modificada (“libsystemd.so”) de un popular rootkit en modo de usuario llamado libprocesshider para ocultar procesos y artefactos en el disco.<\/p>\n

Vale la pena se\u00f1alar que estas acciones se superponen con t\u00e1cticas adoptadas por grupos conocidos de cryptojacking como TeamTNT, Perro guardi\u00e1n<\/a>Rocke y actores de amenazas asociados con el malware SkidMap.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Curiosamente, Migo parece iterar recursivamente a trav\u00e9s de archivos y directorios bajo \/etc”, se\u00f1al\u00f3 Muir. “El malware simplemente leer\u00e1 los archivos en estas ubicaciones y no har\u00e1 nada con el contenido”.<\/p>\n

“Una teor\u00eda es que esto podr\u00eda ser un intento (d\u00e9bil) de confundir las soluciones de an\u00e1lisis din\u00e1mico y sandbox mediante la realizaci\u00f3n de una gran cantidad de acciones benignas, lo que resulta en una clasificaci\u00f3n no maliciosa”.<\/p>\n

Otra hip\u00f3tesis es que el malware busca un artefacto espec\u00edfico de un entorno de destino, aunque Cado dijo que no encontr\u00f3 evidencia que respalde esta l\u00ednea de razonamiento.<\/p>\n

“Migo demuestra que los atacantes centrados en la nube contin\u00faan refinando sus t\u00e9cnicas y mejorando su capacidad para explotar los servicios web”, dijo Muir.<\/p>\n

“Aunque libprocesshider se utiliza con frecuencia en campa\u00f1as de criptojacking, esta variante particular incluye la capacidad de ocultar artefactos en el disco adem\u00e1s de los procesos maliciosos en s\u00ed”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n