Prowli Malware Mineria

Recientemente, según un anuncio publicado el día de ayer 6 de junio, el equipo de seguridad de GuardiCore hallo una campaña de minería de criptomonedas y una actividad de manipulación de tráfico maliciosa, la cual infectó a más de 40,000 máquinas que operaban en diferentes industrias, incluyendo a los sectores de finanzas, educación y gobierno.

La Operación Prowli como fue llamada, hizo uso de tácticas como exploits y forzado de contraseñas, que le permitieron dispersar el malware para poder controlar una variedad de equipos como servidores web, modems y dispositivos IoT (internet de las cosas), otorgándoles capacidad a los atacantes de beneficiarse con todo el dinero posible.

Igualmente el informe detallo que los atacantes utilizaron un minero Monero y el gusano r2r2 para infectar a los dispositivos señalados. Este gusano, es un malware programado para ejecutar ataques de fuerza bruta SSH (Secure SHell, o en español, intérprete de órdenes seguro) desde los equipos pirateados, respaldando también al Prowli para infectar a nuevas otras víctimas.

Explicado de otra forma, con la generación de direcciones IP de forma aleatoria, el gusano r2r2 hace intentos de aplicar fuerza bruta en cualquier inicio de sesión SSH con un diccionario Usuario-Contraseña, para luego de hacer la ruptura ejecuta una serie de comandos en la victima.

GuardiCore señalo en el anuncio que:

“Todos los ataques se comportaron de la misma manera, comunicándose con el mismo servidor de C & C para descargar una cantidad de herramientas de ataque llamadas r2r2 junto con un minero de criptomonedas”.

Por otra parte, los atacantes además hicieron uso de una webshell de código abierto denominada “WSO Web Shell” con el fin de distorsionar los sitios web comprometidos, alojando un código malicioso encargado de redirigir a los visitantes a un sistema de distribución de tráfico, que luego los llevaría a otros sitios web maliciosos. Mediante este proceso, los usuarios se convertían en victimas al hacer clic en las extensiones infectadas del navegador.

Finalmente GuardiCore informo que este ataque había comprometido a unas 9,000 compañías, dejando claro los esfuerzos que deberán realizarse de ahora en adelante, para evitar a toda costa este tipo de ataques que puedan poner en riesgo a los usuarios en la red.