Sucuri investigadores acaba de informar de que alguien se puso en contacto con ellos con respecto a “un proceso malicioso que habían descubierto que se ejecuta en el servidor web”. El proceso en cuestión era bastante pesado en la CPU, que apunta a un proceso cryptominer ejecutan en segundo plano.
Durante su análisis, los investigadores fueron capaces de determinar que la cryptominer se descargó a través de un script Bash conocido como cr2.sh, el cual se deja caer en el servidor de una manera desconocida.
¿Qué ocurre después de ejecutar el archivo de fiesta? Se fija para matar a los procesos de una lista de nombres de los procesos que se relaciona con la cryptomining, tales como xmrig y cryptonight, entre otros.
A continuación, comprueba para ver si el proceso malicioso ya se está ejecutando y envía una solicitud a un archivo PHP alojada en un servidor independiente. Este archivo da salida a la dirección IP que agarra el contenido real cryptominer dirigido por el proceso malicioso.
Más sobre el guión cr2.sh fiesta
El guión cr2.sh también tiene que determinar si el entorno OS es 32- o de 64 bits con el fin de descargar la carga útil cryptomining. Para ello se utiliza el rizo o wget comando como / tmp / php, mientras que el archivo de configuración de la minera se descarga desde el mismo servidor, los investigadores explicaron.
El guión se ha descargado en el servidor web de todo el contenido necesario para seguir adelante y generar el proceso usando nohup, lo que permite que el proceso continúe funcionando sin tener en cuenta si el usuario termina su sesión de bash.
En su siguiente fase, el proceso minero ahora cargado en la memoria del servidor Linux eliminará la carga útil, así como su archivo de configuración. Esto se hace para asegurar y ocultar su presencia.
El malware también es capaz de lograr la persistencia mediante la creación de una tarea programada que se establece para ejecutar cada minuto. Adicionalmente, se comprobará si la secuencia de comandos del cr2.sh Bash, y si el guión no se encuentra, se volverá a descargar y ejecutar una vez más:
Por si alguien detecta el proceso y lo mata junto con el archivo inicial cr2.sh, el archivo crea una tarea programada (a menos que ya existe). Este cron está programado para ejecutarse cada minuto, volver a descargar el archivo cr2.sh si no se encuentra, y ejecutar la escritura del golpe malicioso.
Tenga en cuenta que no sólo los servidores web son el blanco de este ataque, sino también instalaciones de escritorio de los sistemas Linux 32/64 bits, y otras variantes, desplegado para infectar las instalaciones de Windows.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: