Stantinko Botnet ahora apunta a servidores Linux para esconderse detrás de proxies

Noticias 25 de febrero de 2022

software malicioso de linux

Una botnet de adware y minería de monedas dirigida a Rusia, Ucrania, Bielorrusia y Kazajstán al menos desde 2012 ahora ha puesto su mira en los servidores Linux para pasar desapercibidos.

Según un nuevo análisis publicado hoy por Intezer y compartido con The Hacker News, el troyano se hace pasar por HTTPd, un programa de uso común en servidores Linux, y es una nueva versión del malware que pertenece a un actor de amenazas rastreado como Stantinko.

En 2017, los investigadores de ESET detallaron una botnet masiva de adware que funciona engañando a los usuarios que buscan software pirateado para que descarguen ejecutables maliciosos disfrazados de torrents para instalar extensiones de navegador no autorizadas que realizan inyección de anuncios y fraude de clics.

La campaña encubierta, que controla un vasto ejército de medio millón de bots, recibió desde entonces una mejora sustancial en forma de un módulo de criptominería con el objetivo de sacar provecho de las computadoras bajo su control.

Aunque Stantinko ha sido tradicionalmente un malware de Windows, la expansión de su conjunto de herramientas para apuntar a Linux no pasó desapercibida, con ESET observando un proxy troyano de Linux implementado a través de archivos binarios maliciosos en servidores comprometidos.

La investigación más reciente de Intezer ofrece una nueva visión de este proxy de Linux, específicamente una versión más nueva (v2.17) del mismo malware (v1.2) llamado «httpd», con una muestra del malware cargada en VirusTotal el 7 de noviembre desde Rusia.

Tras la ejecución, «httpd» valida un archivo de configuración ubicado en «etc/pd.d/proxy.conf» que se entrega junto con el malware, y lo sigue creando un socket y un oyente para aceptar conexiones de lo que los investigadores creen que son otros. sistemas infectados.

Una solicitud HTTP Post de un cliente infectado allana el camino para que el proxy transmita la solicitud a un servidor controlado por el atacante, que luego responde con una carga adecuada que el proxy reenvía al cliente.

En el caso de que un cliente no infectado envíe una solicitud HTTP Get al servidor comprometido, se devuelve una redirección HTTP 301 a una URL preconfigurada especificada en el archivo de configuración.

Al afirmar que la nueva versión del malware solo funciona como un proxy, los investigadores de Intezer dijeron que la nueva variante comparte varios nombres de funciones con la versión anterior y que algunas rutas codificadas tienen similitudes con campañas anteriores de Stantinko.

«Stantinko es el último malware dirigido a servidores Linux que pasa desapercibido, junto con amenazas como Doki, IPStorm y RansomEXX», dijo la firma. «Creemos que este malware es parte de una campaña más amplia que aprovecha los servidores Linux comprometidos».

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested