Los piratas informáticos están utilizando vulnerabilidades conocidas de ProxyShell para instalar mineros de criptomonedas en servidores vulnerables de Microsoft Exchange, según afirman los investigadores.
Los expertos en seguridad cibernética de Morphisec observaron a atacantes no identificados que usaban ProxyShell (un término genérico para múltiples vulnerabilidades que, cuando se encadenan, permiten la ejecución remota de código) para instalar XMRig en servidores de Microsoft Exchange.
XMRig es una de las variantes de malware de minería de criptomonedas más populares, que genera la criptomoneda Monero (XMR) para los atacantes. Monero es una opción popular entre los ciberdelincuentes debido a sus características de privacidad y al hecho de que es casi imposible de rastrear.
Ocultos a plena vista
Morphisec dice que las vulnerabilidades utilizadas en esta campaña son CVE-2021-34473 y CVE-2021-34523. Ambos fueron descubiertos y reparados hace dos años. Por lo tanto, la mejor manera de protegerse contra estos ataques es aplicar la solución a los puntos finales vulnerables. (se abre en una pestaña nueva).
Los atacantes también han hecho un esfuerzo adicional para asegurarse de que permanezcan ocultos el mayor tiempo posible, dijeron los investigadores.
Una vez que el minero esté configurado, creará una regla de firewall, aplicada a todos los perfiles de Firewall de Windows, para bloquear todo el tráfico saliente. De esa manera, continuaron los investigadores, los equipos de TI y otros defensores no serán notificados de la brecha en el sistema.
Además, el malware esperará al menos 30 segundos entre el inicio del proceso de minería y la creación de la regla de firewall, para evadir la activación de alarmas de las herramientas de seguridad que monitorean el comportamiento del tiempo de ejecución del proceso.
Los mineros de criptomonedas no destruirán una computadora, pero como consumen casi toda la potencia informática, harán que el dispositivo sea prácticamente inútil. Es más, podrían generar enormes facturas de electricidad para los propietarios de las computadoras.
Morphisec también dijo que los propietarios de servidores vulnerables de Microsoft Exchange no deberían tomar el ataque a la ligera, ya que después de ingresar a la red, no hay nada que impida que los atacantes implementen cualquier otra forma de malware.
Vía: BleepingComputer (se abre en una pestaña nueva)