(https://i.imgur.com/8dbKPl7.png)
Investigadores en ciberseguridad han identificado una botnet de minería de criptomonedas de propagación automática llamada Outlaw (también conocida como Dota), conocida por atacar servidores SSH con credenciales débiles.
¿Qué es Outlaw y cómo funciona?Outlaw es un malware para Linux que emplea ataques de fuerza bruta SSH, técnicas de minería de criptomonedas y capacidades de gusano para infectar sistemas y mantener el control sobre ellos. De acuerdo con un informe de Elastic Security Labs, este malware sigue activo y evolucionando.
Outlaw no solo se refiere al malware, sino también al grupo de hackers detrás de esta campaña. Se cree que este colectivo tiene origen rumano y comparte el panorama del cryptojacking con otros grupos como 8220, Keksec (Kek Security), Kinsing y TeamTNT.
Métodos de ataque y persistenciaActivo desde 2018, Outlaw compromete servidores SSH mediante ataques de fuerza bruta y, una vez dentro, asegura persistencia agregando claves SSH propias en el archivo authorized_keys. Además, los atacantes emplean un proceso de infección en múltiples etapas:
- Uso de un script de shell (tddwrt7s.sh) para descargar y descomprimir un paquete (dota3.tar.gz).
- Ejecución de un minero de criptomonedas y eliminación de rastros de ataques previos.
- Interrupción de procesos competidores, garantizando el uso exclusivo de los recursos del sistema.
Autopropagación y vulnerabilidades explotadasUno de los componentes más peligrosos de Outlaw es BLITZ, un módulo que permite la propagación automática del malware a través del escaneo de sistemas vulnerables con servicios SSH expuestos. Este módulo emplea técnicas de fuerza bruta, obteniendo listas de objetivos desde un servidor de comando y control (C2) para expandir la infección.
Algunas variantes del ataque también explotan vulnerabilidades en sistemas Linux y Unix, incluyendo CVE-2016-8655 y CVE-2016-5195 (Dirty COW), además de comprometer dispositivos con credenciales Telnet débiles.
Control remoto y minería eficienteOutlaw utiliza SHELLBOT, una herramienta que permite el control remoto a través de IRC, facilitando la ejecución de comandos arbitrarios, descarga de cargas útiles adicionales, ataques DDoS, robo de credenciales y exfiltración de datos sensibles.
Para optimizar su operación minera, el malware analiza la CPU del sistema infectado y activa páginas de memoria enormes en todos los núcleos del procesador. También emplea un binario denominado kswap01 para garantizar comunicaciones persistentes con la infraestructura del atacante.
En conclusión, a pesar de utilizar técnicas relativamente simples como fuerza bruta SSH, manipulación de claves SSH y persistencia basada en cron, Outlaw sigue siendo una amenaza activa. Este malware despliega mineros XMRig modificados, utiliza IRC para C2 e integra scripts públicos para evadir detecciones y asegurar su permanencia en los sistemas infectados.
La continua evolución de Outlaw y su capacidad de autopropagación lo convierten en una amenaza persistente dentro del ecosistema de la minería ilícita de criptomonedas. Las organizaciones deben fortalecer sus medidas de seguridad en servidores SSH, aplicar parches de seguridad y utilizar soluciones avanzadas de detección para mitigar riesgos.
Fuente: https://thehackernews.com/