Confluence, una herramienta de planificación y colaboración desarrollada por Atlassian, ha sido víctima de ciberdelincuentes que están explotando una vulnerabilidad en su software conocida como CVE-2019-3396. Así lo informó recientemente Trend Micro Inc., una compañía de inteligencia de seguridad, en su sitio web oficial.
Atlassian publicó un aviso en el que advierte sobre dos vulnerabilidades críticas asociadas a Confluence en marzo de este año. Desde el mes de abril, Trend Micro Inc. ha observado que una de estas, la del conector del widget CVE-2019-3396, ha comenzado a ser explotada para hacer ataques maliciosos.
El aviso indica que esta aplica solo para algunas versiones anteriores del software de productividad, y que puede evitarse con la descarga de versiones parcheadas de Confluence Server y Data Center.
Según el informe, la vulnerabilidad se está aprovechando para esparcir un malware de extracción de criptomonedas con un rookit que oculta sus actividades y peaje en la unidad central de procesamiento del host (UPC). Trend Micro considera que el ataque es muy similar a uno suscitado en noviembre del año pasado, que utilizó una combinación de minero-rootkit.
“Este ataque comparte muchas de las mismas características del incidente del año pasado, como el uso de pastebin como servidor de C&C, la carga útil del minero y su uso de un rootkit para ocultar el malware”.
Sin embargo, destaca que este no solo oculta la actividad minera, sino también archivos y el tráfico de red:
“A diferencia del rootkit anterior que solo enlaza la función readdir para ocultar el proceso de minería, esta nueva versión enlaza más funciones. Oculta no solo el proceso de minería, sino también ciertos archivos y el tráfico de red. También es capaz de forjar el uso de la CPU de la máquina”.
Para este tipo de casos, Trend Micro recomendó realizar un monitoreo continuo a fin de detectar cualquier amenaza en una organización, con su herramienta híbrida de seguridad en la nube.
Durante el mes de febrero, Trend Micro otros ataques de malware de minería XMR, uno de los cuales estaba dirigido a Microsoft Windows, aprovechando la vulnerabilidad del servidor SMB de Windows MS17-010.
