{"id":1726428,"date":"2025-05-20T08:59:58","date_gmt":"2025-05-20T08:59:58","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-malware-basado-en-go-implementa-xmrig-miner-en-hosts-de-linux-a-traves-del-abuso-de-configuracion-de-redis\/"},"modified":"2025-05-20T09:00:03","modified_gmt":"2025-05-20T09:00:03","slug":"el-malware-basado-en-go-implementa-xmrig-miner-en-hosts-de-linux-a-traves-del-abuso-de-configuracion-de-redis","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-malware-basado-en-go-implementa-xmrig-miner-en-hosts-de-linux-a-traves-del-abuso-de-configuracion-de-redis\/","title":{"rendered":"El malware basado en GO implementa XMRIG Miner en hosts de Linux a trav\u00e9s del abuso de configuraci\u00f3n de Redis"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>20 de mayo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Linux \/ Cryptojacking<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad est\u00e1n llamando la atenci\u00f3n sobre una nueva campa\u00f1a de criptojacking de Linux que se dirige a servidores Redis de acceso p\u00fablico.<\/p>\n

La actividad maliciosa ha sido nombrada en c\u00f3digo Redisraider <\/b>por Datadog Security Labs.<\/p>\n

“Redisraider escanea agresivamente porciones aleatorias del espacio IPv4 y utiliza comandos leg\u00edtimos de configuraci\u00f3n de Redis para ejecutar trabajos cron maliciosos en sistemas vulnerables”, los investigadores de seguridad Matt Muir y Frederic Baguelin dicho<\/a>.<\/p>\n

El objetivo final de la campa\u00f1a es eliminar una carga \u00fatil principal basada en GO que sea responsable de desatar un minero XMRIG en sistemas comprometidos.<\/p>\n

La actividad implica el uso de un esc\u00e1ner a medida para identificar servidores REDIS accesibles p\u00fablicamente en Internet y luego emitir un comando de informaci\u00f3n para determinar si las instancias se ejecutan en un host de Linux. Si se encuentra que es el caso, el algoritmo de escaneo procede a abusar del comando set de Redis para inyectar un trabajo cron.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El malware luego usa el comando de configuraci\u00f3n para cambiar el directorio de trabajo redis a “\/etc\/cron.d” y escribir en la ubicaci\u00f3n a archivo de base de datos<\/a> Llamado “Apache” para que sea elegido peri\u00f3dicamente por el planificador de Cron y ejecuta un script de shell codificado Base64, que posteriormente descarga el binario Redisraider desde un servidor remoto.<\/p>\n

La carga \u00fatil esencialmente sirve como cuentagotas para una versi\u00f3n a medida de XMRIG y tambi\u00e9n propaga el malware a otras instancias de Redis, ampliando efectivamente su alcance y escala.<\/p>\n

“Adem\u00e1s del criptojacking del lado del servidor, la infraestructura de Redisraider tambi\u00e9n organiz\u00f3 un Monero Miner basado en la web, lo que permite una estrategia de generaci\u00f3n de ingresos m\u00faltiples”, dijeron los investigadores.<\/p>\n

“La campa\u00f1a incorpora medidas sutiles anti-forenses, como la configuraci\u00f3n de tiempo de vida corta (TTL) y los cambios de configuraci\u00f3n de la base de datos, para minimizar la detecci\u00f3n y obstaculizar el an\u00e1lisis posterior a la incidente”.<\/p>\n

La divulgaci\u00f3n se produce cuando Guardz revel\u00f3 los detalles de una campa\u00f1a espec\u00edfica que explota protocolos de autenticaci\u00f3n heredados en Microsoft Entra ID a cuentas de fuerza bruta. Se ha encontrado que la actividad, observada entre el 18 de marzo y el 7 de abril de 2025. BAV2ROPC<\/a> (Abreviatura de “Autenticaci\u00f3n b\u00e1sica Versi\u00f3n 2 – Credencial de contrase\u00f1a del propietario de recursos”) para evitar defensas como autenticaci\u00f3n multifactor (MFA) y acceso condicional.<\/p>\n

“El seguimiento y la investigaci\u00f3n revelaron intentos de explotaci\u00f3n sistem\u00e1ticos que aprovecharon las limitaciones de dise\u00f1o inherentes de BAV2ROPC, que precedieron a las arquitecturas de seguridad contempor\u00e1neas”, Elli Shlomo, jefe de investigaci\u00f3n de seguridad en Guardz, dicho<\/a>. “Los actores de amenaza detr\u00e1s de esta campa\u00f1a mostraron una comprensi\u00f3n profunda de los sistemas de identidad”.<\/p>\n

Se dice que los ataques se originaron principalmente de Europa del Este y las regiones de Asia y el Pac\u00edfico, principalmente dirigidos a cuentas de administraci\u00f3n utilizando puntos finales de autenticaci\u00f3n heredados.<\/p>\n

“Si bien los usuarios regulares recibieron la mayor parte de los intentos de autenticaci\u00f3n (50,214), las cuentas de administraci\u00f3n y los buzones compartidos se dirigieron a un patr\u00f3n espec\u00edfico, con cuentas de administraci\u00f3n que recibieron 9,847 intentos en 432 IPS durante 8 horas, lo que sugiere un promedio de 22.79 intentos por IP y una velocidad de 1,230.87 intentos por hora por hora”, dijo la compa\u00f1\u00eda.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Esto indica una campa\u00f1a de ataque altamente automatizada y concentrada dise\u00f1ada espec\u00edficamente para comprometer cuentas privilegiadas mientras mantiene una superficie de ataque m\u00e1s amplia contra usuarios regulares”.<\/p>\n

Esta no es la primera vez que se han abusado de los protocolos heredados por actividades maliciosas. En 2021, Microsoft divulgado<\/a> Una campa\u00f1a de compromiso de correo electr\u00f3nico comercial a gran escala (BEC) que utiliz\u00f3 BAV2ROPC e IMAP\/POP3 para eludir los datos de correo electr\u00f3nico de MFA y exfiltrarse.<\/p>\n

Para mitigar los riesgos planteados por tales ataques, se recomienda bloquear la autenticaci\u00f3n heredada a trav\u00e9s de una pol\u00edtica de acceso condicional, deshabilitar BAV2ROPC y apagar la autenticaci\u00f3n SMTP en Exchange Online si no est\u00e1 en uso.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n