investigadores de Trend Micro han observado una nueva campaña de la minería criptomoneda Moneo que se dirige a los servidores Linux. La campaña está utilizando reutilizado y conoce las vulnerabilidades - en particular, un defecto que ha sido parcheado por cinco años. Los usuarios deben tener en cuenta que la campaña está activa y en curso, que afecta a las siguientes regiones - Japón, Taiwán, India, China, y la U.S.
Criptomoneda Ataque Minería Impactos servidores Linux: los detalles
La vulnerabilidad conocida explotada en la campaña maliciosa es CVE-2013-2618:
Cross-site scripting (XSS) vulnerabilidad en editor.php en Red weathermap antes 0.97b permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro MAP_TITLE.
¿Por qué los atacantes que explotan este error edad determinada? Como se ve en su descripción oficial, se trata de un fallo fechado en Red weathermap de Cactus plug-in, que es utilizado por los administradores del sistema para visualizar la actividad de red.
Además, Weathermap red sólo tiene dos defectos reportados públicamente, y dos de ellos son de junio 2914. Es posible que los atacantes están aprovechando no sólo de un problema de seguridad para los que un exploit es fácilmente disponible, sino también de retraso parche que se produce en las organizaciones que utilizan la herramienta de código abierto, investigadores de Trend Micro explicado.
Más acerca del Miner usados en esta campaña
La carga útil final de la operación se ha encontrado para ser un minero XMRig modificado modificado. Cabe señalar que XMRig es un minero XMR legítimo y de código abierto que tiene múltiples versiones actualizadas que soporta tanto los sistemas operativos de 32 bits y 64 bits Windows y Linux.
XMRig debe ser ejecutado junto con un archivo de configuración llamado ‘config.json’, o con parámetros que especifican / requieren detalles tales como el algoritmo para ser utilizado (CryptoNight / CryptoNight-Lite), uso máximo CPU, servidor de la minería, y las credenciales de acceso (billetera monero y contraseña). Las muestras utilizadas en este ataque fueron modificados de una manera que hace que la configuración o parámetros innecesarios. Todo ya está incrustado en su código.
Los investigadores recogieron cinco muestras probables que los llevaron a dos nombres de usuario de inicio de sesión único, coincidir las carteras Monero donde se envían los pagos piscina minera.
Hasta aquí, los atacantes han extraído aproximadamente 320 XMR o aproximadamente $74,677 sobre la base de las dos carteras los investigadores observaron. Sin embargo, estas cifras representan sólo una pequeña parte de la ganancia para toda la campaña de la minería. En informes anteriores de la misma campaña mostraron una ganancia de $3 millones de dólares en XMR procedente de una única cartera Monero.
Otro minero que es una versión modificada del software XMRig es el llamado WaterMiner.
El minero WaterMiner Moneo se conecta a un conjunto predefinido por tener instrucciones específicas en su archivo de configuración.
Una piscina de minería es un nodo centralizado que lleva el bloque A Monero blockchain y lo distribuye a los pares conectados para el procesamiento. Cuando se devuelve un número determinado de acciones y verificado por la piscina una recompensa en forma de Moneo criptomoneda está cableado a la dirección de la cartera designado.