Pro-Ocean se dirige a Oracle y Apache para filtrar criptojacking de Monero

Recientemente, la firma de seguridad cibernética Palo Alto Networks detectó un nuevo malware dirigido a servidores Oracle y Apache para filtrar minería maliciosa de la criptomoneda Monero (XMR). Así lo dio a conocer recientemente la compañía de ciberseguridad.

Investigadores de la Unidad 42 de Palo Alto Networks detectaron este nuevo malware, y lo bautizaron con el nombre de Pro-Ocean. Pro-Ocean está dirigido a atacar a servidores en la nube, como Oracle, Apache y Redis. Una vez instalado en el dispositivo atacado, Pro-Ocean es capaz de detener los procesos que consumen poder en el computador, con el objetivo de utilizar el 100% del hashrate para minar monero (XMR).

Desde la Unidad 42 informaron que «aunque Pro-Ocean intenta disfrazarse de benigno, incluye un minero XMRig, que es conocido por su uso en operaciones de criptojacking. El minero busca esconderse usando varias capas de ofuscación encima del código malicioso». Cabe destacar que los investigadores de Palo Alto Networks pudieron determinar y describir las técnicas que utiliza Pro-Ocean para ocultarse y esquivar los métodos de detección de softwares de ciberseguridad.

Los miembros de la Unidad 42 añadieron que lograron determinar cuatro módulos de operación dentro de Pro-Ocean. Cada uno de estos módulos tiene una función diferente, donde resalta el módulo de minería:

Articulosde interes

Intercambio de renombre eliminará varias criptomonedas privadas

29 de diciembre de 2023

1.3k

Revolución cripto 2023: Solana, Chainlink y Monero

29 de julio de 2023

578

«El módulo de minería es la razón por la que Pro-Ocean existe en primer lugar. Su objetivo es extraer Monero en la billetera del atacante, y lo hace mediante la implementación de un minero XMRig 5.11.1 y una configuración JSON, y luego comienza a extraer. Esta es una operación común para el malware de criptojacking».

Unidad 42 de Palo Alto Networks.

Los investigadores de Palo Alto Networks infirieron que Alibaba Cloud y Tencent Cloud son dos de los objetivos de Pro-Ocean. Asimismo, destacaron que este malware de criptojacking dirigido a infraestructuras en la nube fue desarrollado por el grupo de ciberatacantes Rocke Group.

Rocke Group entró en el radar de Palo Alto Network en 2019, cuando lanzó un malware para atacar servidores en nube, con el objetivo de implementar software de minería maliciosa de Monero. Desde la Unidad 42 reportaron que Pro-Ocean es una actualización de dicho malware.

«El malware de criptojacking dirigido a la nube está evolucionando a medida que los atacantes comprenden el potencial de ese entorno para extraer criptomonedas. Anteriormente vimos ataques más simples por parte de Rocke Group, pero parece que este grupo presenta una amenaza creciente y continua. Este malware dirigido a la nube no es algo común, ya que tiene capacidades de gusano y rootkit. Podemos suponer que continuará la tendencia creciente de ataques sofisticados en la nube».

Unidad 42 de Palo Alto Networks.

Recientemente, la Unidad 42 de Palo Alto Networks reportó otro malware de minería maliciosa de Monero (XMR), bautizado con el nombre de Hildegard. Los investigadores señalaron que Hildegard está dirigido a atacar clústeres de Kubernetes, para aprovechar los elevados recursos informáticos en los entornos de Kubernetes para minar criptomonedas XMR de forma no autorizada. Hasta la fecha del reportaje de la Unidad 42, los operadores de Hildgard ya había logrado minar unos 11 XMR, equivalentes a unos 1.500 USD, aproximadamente.

Imagen destacada por Bethany Drouin / pixabay.com