(https://i.postimg.cc/Vs0Sjv0g/Linux-1.png) (https://postimg.cc/9zVF2Wpw)
Una investigación reciente de VulnCheck ha revelado una campaña de criptominería que ha pasado desapercibida durante años. El actor de amenazas responsable de esta operación, que utiliza el minero Linuxsys, ha estado atacando sistemas vulnerables desde al menos 2021, manteniendo una estrategia consistente que se basa en gran medida en sitios web legítimos comprometidos para distribuir malware.
Lo que dificulta la detección de esta campaña es que el atacante utiliza sitios web reales como canales de distribución de malware. En lugar de alojar cargas útiles en dominios sospechosos, comprometen sitios web de terceros con certificados SSL válidos y colocan allí sus enlaces de descarga. Esto no solo les ayuda a eludir numerosos filtros de seguridad, sino que también mantiene su infraestructura principal (como el sitio de descarga repositorylinux.org) a distancia de los archivos de malware.
Entre el 1 y el 16 de julio de este año, los analistas de VulnCheck detectaron repetidos intentos de explotación desde la dirección IP 103.193.177.152 contra una instancia de Apache 2.4.49 con canary. Estos intentos se relacionaron con la vulnerabilidad CVE-2021-41773. Si bien esta vulnerabilidad en particular no es nueva y sigue siendo un objetivo popular, la entidad que la explotaba destacó.
Los atacantes utilizaron un script simple llamado linux.sh, que extrae tanto el archivo de configuración como el binario Linuxsys de una lista de cinco sitios web comprometidos. Estos incluyen dominios como prepstarcenter.com, wisecode.it y dodoma.shop, todos sitios de apariencia normal.
Según la publicación del blog de VulnCheck, compartida con Hackread.com antes de su publicación el miércoles, la lista no era aleatoria. Esto le daba al atacante opciones de respaldo si un sitio web se caía o dejaba de funcionar, de modo que el malware pudiera seguir distribuyéndose sin interrupciones.
El archivo de configuración del minero obtenido de estos sitios apunta a hashvault.pro como el grupo de minería e identifica la billetera asociada con la operación. Esa billetera ha estado recibiendo pequeños pagos desde enero de 2025, con un promedio de alrededor de 0,024 XMR al día, aproximadamente 8 dólares.
Si bien 8 dólares parecen insignificantes, la operación no busca necesariamente grandes ingresos. La consistencia y la duración sugieren otros objetivos, o posiblemente más actividad minera en otros lugares que aún no se ha observado.
Tras un análisis histórico de Linuxsys, su nombre apareció por primera vez en 2021 en una entrada de blog de Hal Pomeranz, un reconocido experto en análisis forense digital de Linux y Unix, que analizaba la explotación del mismo CVE. Desde entonces, se ha vinculado a múltiples vulnerabilidades a través de informes de varias empresas de ciberseguridad. Estas incluyen CVE recientes como 2023-22527, 2023-34960 y 2024-36401.
Todas estas vulnerabilidades de seguridad se explotaron mediante una explotación de vulnerabilidades de día n, la preparación de contenido en infraestructura web comprometida y operaciones de minería persistente. Una vulnerabilidad de día n es un error de seguridad ya conocido que suele tener solución. El nombre simplemente significa que la falla ha estado pública durante un cierto número de días, donde "n" representa los días transcurridos desde que el problema se hizo público o se parcheó.
También hay evidencia de que la operación no se limita a Linux. Se encontraron dos ejecutables de Windows, nssm.exe y winsys.exe, en los mismos hosts comprometidos. Si bien VulnCheck no los observó en acción, su presencia sugiere un alcance más amplio que va más allá de los sistemas Linux.
Lo que ha mantenido a esta campaña tan discreta es probablemente una combinación de una selección cuidadosa de objetivos y la evitación deliberada de honeypots. VulnCheck señala que el atacante parece preferir entornos de alta interacción, lo que significa que los servidores cebo típicos a menudo pasan por alto esta actividad por completo. Este enfoque cauteloso probablemente ha ayudado a que la campaña no atrajera demasiada atención a pesar de llevar años activa.
VulnCheck ha publicado reglas para Suricata y Snort que detectan intentos de explotación para todos los CVE asociados conocidos. Mientras tanto, los indicadores de vulnerabilidad incluyen IP, URL y hashes de archivos relacionados con el ataque. También proporcionaron reglas de detección que los equipos de seguridad pueden usar para identificar consultas DNS y tráfico HTTP asociados con el descargador y los scripts iniciales de carga útil.
Fuente:
HackRead
https://hackread.com/linux-cryptominer-using-legit-sites-to-spread-malware/