Una campaña de criptometría Monero hace dos meses se dirigió a servidores basados en Linux y dispositivos de Internet de las Cosas con una familia de malware recientemente descubierta llamada Linux Rabbit (Conejo de Linux), informaron los investigadores.
La operación se realizó en dos fases, cada una de las cuales usaba una versión distinta de Linux Rabbit que comparte la misma base de código que la otra iteración, según una publicación de blog del 6 de diciembre de Anomali Labs.
La primera fase comenzó en agosto de 2018 e involucró el malware original Linux Rabbit, que fue codificado para infectar servidores basados en Linux en Rusia, Corea del Sur, el Reino Unido y los EE. UU. La segunda duró desde septiembre hasta octubre y utilizó un gusano autopropagante variante de Linux Rabbit conocido como Rabbot. Rabbot fue desarrollado para infectar servidores en un rango geográfico más amplio al mismo tiempo que agrega dispositivos IoT basados en Linux a su lista objetivo.
La carga útil final de la familia Linux Rabbit es el minero CNRig si el dispositivo infectado es una máquina Intel de x86 bits y el minero Coinhive si el host se ejecuta en un procesador ARM o arquitectura MIPS. Además, el malware inyecta etiquetas de script Coinhive en todos los archivos HTML del servidor web, de modo que los usuarios que visitan el servidor o su sitio web también se infectan.
De acuerdo con Anomali, Linux Rabbit utiliza los servicios y puertas de enlace ocultos de Tor para comunicarse con su servidor C2 malicioso. “La carga útil del malware se envía desde el servidor C2 como un parámetro de URL codificada”, explica la publicación del blog.
El malware luego establece la persistencia a través de los archivos “rc.local” y “.bashrc”, luego emplea técnicas de fuerza bruta para robar contraseñas SSH que permitirán a Linux Rabbit instalar el minero. Otras funcionalidades incluyen recibir actualizaciones de malware de GitHub, detectar y eliminar otros mineros que se instalaron previamente en las máquinas y activar un interruptor de interrupción.
La variante Rabbot también puede ir tras los dispositivos de IoT porque puede explotar una serie de vulnerabilidades antiguas, incluidos dos errores críticos de ejecución de código que se encontraron este año en el firmware NVRMini2 de NUUO (CVE-2018-1149) y en la gestión global de SonicWall. Sistema (CVE-2018-9866).
