Especialistas en Palo Alto Las redes han descubierto una nueva técnica para la minería cripto malicioso por el grupo Rocke.
Tque no sólo elimina el malware todos los otros mineros que compiten en el sistema, sino que también utiliza el GitHub y Pastebin servicios como parte de la infraestructura del centro de comando C2.“Los ciberdelincuentes escriben componentes maliciosos en Python, mientras Pastebin y GitHub se utilizan como repositorios de código”, - Palo Alto Networks explica.
Los expertos creen que el malware tiene raíces chinas y fue creado por un grupo de la delincuencia informática de China, conocido como Rocke. Las infraestructuras de ataques minero nube, a través del cual se extrae entonces la moneda digital. Una empresa que ha sido víctima de un ataque de ese tipo por lo general se da cuenta de que sus facturas de electricidad han aumentado considerablemente.
“Durante sus ataques, cibercriminales explotan las vulnerabilidades descubiertas en 2016 y 2017. Los atacantes trataron de evitar la detección, por lo que penetraron sistema de la víctima, pero no profundamente”, - escribieron los investigadores en Palo Alto Networks.
Los delincuentes obtienen acceso administrativo a los sistemas de nubes gracias a un programa malicioso que puede ocultar su presencia a partir de métodos de detección tradicionales.
“Mediante el análisis de los datos NetFlow a partir de diciembre 2018 a junio 16, 2019, Encontramos eso 28.1% de los entornos de nube que encuestadas tenían al menos una conexión de red establecido completamente con al menos un conocido de comando y control Rocke (C2) dominio. Varias de esas organizaciones se mantienen cerca de conexiones diarias. mientras tanto, 20% de las organizaciones mantenido latidos por hora en consonancia con las tácticas Rocke, técnicas, y procedimientos (TTP)”, - Informe de especialistas de Palo Alto Networks.
sistemas comprometidos son entonces asociados con direcciones IP y dominios de Rocke, que están codificadas en el software malicioso.
leer también: La nueva versión del troyano bancario TrickBot “arranca” Windows Defender
El vector de ataque inicial, como en la mayoría de estos casos, es la pesca. Una vez que esta fase tiene éxito, el malware se descargará en el sistema de la empresa atacada desde los centros de mando, incluyendo GitHub y Pastebin.
