Un nuevo informe ha destacado cómo algunos piratas informáticos no están interesados en tener malware o virus instalados en los puntos finales de destino, sino que trabajan para llevar toda su caja de herramientas al dispositivo de la víctima, lo que luego los ayudaría a elegir la mejor herramienta maliciosa para cada individuo. objetivo.
La investigación de Sysdig, que llama al método «Traiga su propio sistema de archivos», o BYOF para abreviar, descubrió que hasta ahora, el método funciona en dispositivos Linux, gracias a una utilidad vulnerable llamada PRoot.
Según Sysdig, los actores de amenazas crearían un sistema de archivos malicioso completo en sus propios dispositivos y luego lo descargarían y montarían en el punto final comprometido. De esa forma, obtienen un conjunto de herramientas preconfigurado que les ayuda a comprometer aún más los sistemas Linux.
Instalando criptojackers
«Primero, los actores de amenazas crean un sistema de archivos malicioso que se implementará. Este sistema de archivos malicioso incluye todo lo que la operación necesita para tener éxito», dijo Sysdig en su informe. «Hacer esta preparación en esta etapa temprana permite que todas las herramientas se descarguen, configuren o instalen en el propio sistema del atacante, lejos de las miradas indiscretas de las herramientas de detección».
Aunque hasta ahora la compañía de software solo observó el método que se utiliza para instalar mineros de criptomonedas en estos dispositivos, dice que existe la posibilidad de ataques más disruptivos y dañinos.
PRoot es una herramienta de utilidad que permite a los usuarios crear sistemas de archivos raíz aislados en Linux. Si bien la herramienta está diseñada para que todos los procesos se ejecuten dentro del sistema de archivos invitado, hay formas de mezclar programas host e invitados, que es de lo que abusan los actores de amenazas. Además, los programas que se ejecutan en el sistema de archivos invitado pueden usar el mecanismo incorporado de montaje/enlace para acceder a archivos y directorios desde el sistema host.
Aparentemente, abusar de PRoot para entregar malware es relativamente fácil, ya que la herramienta está compilada estáticamente y no requiere dependencias adicionales. Todo lo que los piratas informáticos deben hacer es descargar el binario precombinado de GitLab y montarlo en el punto final de destino.
«Cualquier dependencia o configuración también se incluye en el sistema de archivos, por lo que el atacante no necesita ejecutar ningún comando de configuración adicional», dice Sysdig. «El atacante inicia PRoot, apunta al sistema de archivos malicioso desempaquetado y especifica el binario XMRig para ejecutar».
Vía: BleepingComputer (se abre en una pestaña nueva)