“Tírame algo de criptomoneda”: los desarrolladores de malware ya se han vuelto completamente imprudentes

Recientemente, los expertos de Elastic Security Labs descubrieron una compleja campaña maliciosa denominada REF6138, dirigida a servidores Linux vulnerables. Los hackers iniciaron su actividad maliciosa en marzo de 2024, aprovechando una vulnerabilidad en el servidor web Apache2. Tras obtener acceso, los atacantes desplegaron un conjunto de herramientas y software malicioso para mantener su presencia en el host comprometido y ampliar aún más su control.

Los atacantes utilizaron varios programas maliciosos, incluidos KAIJI, conocido por sus capacidades de DDoS, y RUDEDEVIL, un criptominero que explota los recursos del sistema para sus propios fines.

Durante la investigación, los especialistas descubrieron un posible esquema de minería de Bitcoin y XMR, basado en el uso de API de juegos de azar. Esto sugiere que los atacantes podrían haber utilizado los hosts comprometidos para el lavado de dinero. Además, los investigadores obtuvieron acceso a un servidor de archivos que se actualizaba diariamente con nuevos ejemplares de KAIJI, lo que indica un desarrollo y modificación activos del software malicioso.

Para la comunicación encubierta, los atacantes utilizaron bots de Telegram, procesos falsos del kernel y la herramienta de programación de tareas cron. El ataque comenzó con la obtención de acceso remoto a Apache2 y la carga de un script llamado “00.sh”. Este script eliminaba los registros del sistema, quitaba procesos de minería competidores e instalaba archivos maliciosos adicionales. Para el control posterior del servidor comprometido, los atacantes empleaban un servidor con almacenamiento de archivos que contenía diversas muestras de malware para diferentes arquitecturas.

Uno de los componentes principales de la campaña fue RUDEDEVIL, que se destacaba por un mensaje específico del autor dentro de su código, y realizaba varias tareas, como la instalación en el sistema, el uso de sockets para comunicación y el control de la actividad de red. Además, el análisis de este malware reveló el uso de cifrado XOR para ocultar datos.

En cuanto al mensaje específico, los expertos identificaron las siguientes líneas en el código de RUDEDEVIL, dirigidas a los especialistas en seguridad: “Hola, amigo. He visto que varias organizaciones han informado sobre mi troyano últimamente. Por favor, no me molestes. Solo quiero comprarme un coche. No quiero dañar a nadie ni hacer algo ilegal. Si no es mucha molestia, envíame algo de cripto al siguiente monedero XMR...”.

Este mensaje podría ser un intento de generar simpatía o desviar la atención de los investigadores, pero, de todos modos, constituye una característica única de RUDEDEVIL y alimenta cierto interés por su autor.

Volviendo al análisis de la campaña maliciosa, los atacantes también utilizaron herramientas para monitorear procesos y actividad de red. Podían controlar la carga del procesador y enviar información del sistema a los servidores de control a través de canales seguros.

Otra herramienta utilizada por los atacantes fue GSOCKET, una utilidad para comunicación cifrada entre sistemas que oculta su actividad tras procesos del kernel del sistema. Durante el ataque también se utilizó la vulnerabilidad CVE-2021-4034 (pwnkit) para obtener privilegios de root.

Como se puede observar, los ciberdelincuentes se vuelven cada vez más ingeniosos, combinando diversos métodos para obtener control sobre los sistemas y maximizar sus ganancias. Sus enfoques demuestran que están dispuestos a hacer cualquier cosa por su beneficio, incluso apelar a la simpatía de los investigadores. En un campo de ciberamenazas en constante evolución, la detección y protección a tiempo se convierten en factores clave, y la simple comprensión del riesgo puede desempeñar un papel decisivo en la prevención de consecuencias graves.