Malicioso Bash script descarga Cryptominer en los host de Linux
CYBER NOTICIAS

Malicioso Bash script descarga Cryptominer en los host de Linux

Sucuri investigadores acaba de informar de que alguien se puso en contacto con ellos con respecto a “un proceso malicioso que habían descubierto que se ejecuta en el servidor web”. El proceso en cuestión era bastante pesado en la CPU, que apunta a un proceso cryptominer ejecutan en segundo plano.




Durante su análisis, los investigadores fueron capaces de determinar que la cryptominer se descargó a través de un script Bash conocido como cr2.sh, el cual se deja caer en el servidor de una manera desconocida.

¿Qué ocurre después de ejecutar el archivo de fiesta? Se fija para matar a los procesos de una lista de nombres de los procesos que se relaciona con la cryptomining, tales como xmrig y cryptonight, entre otros.

A continuación, comprueba para ver si el proceso malicioso ya se está ejecutando y envía una solicitud a un archivo PHP alojada en un servidor independiente. Este archivo da salida a la dirección IP que agarra el contenido real cryptominer dirigido por el proceso malicioso.

Más sobre el guión cr2.sh fiesta

El guión cr2.sh también tiene que determinar si el entorno OS es 32- o de 64 bits con el fin de descargar la carga útil cryptomining. Para ello se utiliza el rizo o wget comando como / tmp / php, mientras que el archivo de configuración de la minera se descarga desde el mismo servidor, los investigadores explicaron.

El guión se ha descargado en el servidor web de todo el contenido necesario para seguir adelante y generar el proceso usando nohup, lo que permite que el proceso continúe funcionando sin tener en cuenta si el usuario termina su sesión de bash.

En su siguiente fase, el proceso minero ahora cargado en la memoria del servidor Linux eliminará la carga útil, así como su archivo de configuración. Esto se hace para asegurar y ocultar su presencia.

Relacionado: Subsistema de Linux en Windows 10 Hace vulnerable a Bashware

El malware también es capaz de lograr la persistencia mediante la creación de una tarea programada que se establece para ejecutar cada minuto. Adicionalmente, se comprobará si la secuencia de comandos del cr2.sh Bash, y si el guión no se encuentra, se volverá a descargar y ejecutar una vez más:

Por si alguien detecta el proceso y lo mata junto con el archivo inicial cr2.sh, el archivo crea una tarea programada (a menos que ya existe). Este cron está programado para ejecutarse cada minuto, volver a descargar el archivo cr2.sh si no se encuentra, y ejecutar la escritura del golpe malicioso.

Tenga en cuenta que no sólo los servidores web son el blanco de este ataque, sino también instalaciones de escritorio de los sistemas Linux 32/64 bits, y otras variantes, desplegado para infectar las instalaciones de Windows.

Milena Dimitrova

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum desde el comienzo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...