Los investigadores de ciberseguridad de la unidad 42 de la firma Palo Alto Networks descubrieron una nueva campaña de malware enfocada a la minería de la criptomoneda de privacidad Monero.
La nueva campaña de malware llamado Hildegard está dirigida a atacar clústeres de la plataforma de código abierto Kubernetes, para utilizar el poder de procesamiento computacional de los equipos en la minería de Monero (XMR), la criptomoneda centrada en la privacidad. La firma de ciberseguridad que descubrió el malware, Palo Alto Networks, señala que este nuevo malware puede estar siendo utilizado por el grupo de amenazas TeamTNT, conocido por explotar demonios Docker no seguros, desplegar imágenes de contenedores maliciosos y ejecutar ataques para robar credenciales de Amazon Web Services y más.
El informe de investigación de la unidad 42 de Palo Alto Networks demuestra que los atacantes lograron obtener acceso inicial a través de un kubelet mal configurado, que permitió el acceso anónimo a la red, para que los atacantes se establecieran dentro de uno de los clústeres. Al infectar uno de estos, el malware Hildegard comenzó a extenderse tanto como le fue posible por todo el sistema y sus equipos, y finalmente lanzó operaciones de criptojacking, con la finalidad de utilizar el poder computacional de cada uno de los equipos infectados de Kubernetes para la minería de criptomonedas, como Monero, de forma sigilosa e ilegal.
Te puede interesar: Nuevo riesgo potencial para tus bitcoins, España entre los países más afectados por malware
Características del nuevo malware
El nuevo malware lleva funcionando apenas un mes, según estiman los investigadores de la unidad 42, y a pesar que posee muchas de las herramientas y funcionalidades vistas en campañas de malware anteriores impulsadas por este grupo de amenaza, el malware Hildegard también cuenta con algunas nuevas características particulares que los investigadores no habían visto en campañas anteriores.
En particular, los investigadores de ciberseguridad señalan que el malware Hildegard de TeamTNT utiliza dos formas de establecer conexiones de comando y control (C2): una a través de un shell inverso tmate, y otra por medio de un canal de Internet Relay Chat (IRC), un protocolo de comunicación en tiempo real basado en texto que utilizaron recientemente los desarrolladores de Bitcoin para discutir sobre la activación de Taproot en la red.
También, la nueva campaña de malware hace uso de un nombre de proceso de Linux conocido (bioset) para disfrazar y ocultar el proceso malicioso, por lo que actúa de forma más sigilosa y persistente. Así mismo, los investigadores destacan que el malware Hildegard hace uso de una técnica de inyección de biblioteca basada en LD_PRELOAD, que le permite ocultar los procesos maliciosos para no ser descubierto. Además, cifra la carga útil maliciosa dentro de un binario para dificultar el análisis estático automatizado, permitiéndole ser resistentes a este tipo de escaneos.
Por otro lado, además de todas estas características, los investigadores apuntan a que se trata de una campaña de malware en pleno desarrollo, ya que su base de código e infraestructura aparentemente están incompletas.
Minería ilegal de Monero (XMR)
Los investigadores de la firma de ciberseguridad descubrieron que los recursos computacionales secuestrados de los clústeres de Kubernetes por la campaña de malware estaban siendo destinados a minar, de manera maliciosa y oculta, la criptomoneda de privacidad Monero (XMR).
Para minar la criptomoneda, el malware estaba haciendo uso del minero XMRig, uno de los mineros más atractivos para los ciberdelincuentes según afirma ESET, otra firma de ciberseguridad altamente reconocida en el mercado. ESET asegura que el 73% del malware dedicado a la minería ilegal, en Latinoamérica y el mundo, utiliza XMRig.
Pese al poco tiempo que lleva ejecutándose esta campaña de malware, los investigadores descubrieron que los ciberdelincuentes ya almacenaban cerca de 25,05 KH de poder computacional o hash rate, con el que lograron minar unos 11 XMR, valorados al momento de esta edición en 1.640 dólares.
Continúa leyendo: ESET descubre nueva familia de malware capaz de minar y robar criptomonedas