Estado del arte del malware de minado de criptomonedas publicado por CSIRT-CV

El Centro de Respuesta ante Incidentes de la Comunitat Valenciana (CSIRT-CV) ha publicado hoy un estudio sobre el estado del arte de algunas de las variantes más extendidas de amenazas orientadas al minado de criptodivisas.

En el informe se detallan el tipo de equipos objetivo más comunes de cada una, así como sus principales víastécnicas de infección últimas tendencias que este CSIRT ha detectado.

A partir de toda la información recabada en dicho informe se puede enfatizar el considerable incremento de nuevas amenazas de tipo ‘miner’ y el hecho de que la mayoría se basan en código reutilizado de repositorios públicos. Otro hecho interesante es que se está explotando todo tipo de dispositivos para minar criptomonedas, desde equipos de usuario, servidores, smartphones y dispositivos IoT.

 

“Todo dispositivo capaz de ejecutar un conjunto de instrucciones puede servir de plataforma para minar criptomoneda”

En el informe de CSIRT-CV no solo nos hablan de los equipos de usuario o servidores como objetivos de infección sino de los dispositivos Android.

Malware como Loapi o ADB.Miner están en auge y cada vez son más las APK que intentan aprovecharse de la potencia de cómputo de los cada vez más avanzados terminales móviles o dispositivos IoT para minar criptomonedas. Un ejemplo de este hecho es el que muestran en el informe, en el que muestran cómo partiendo de nuestra plataforma Koodous y unas sencillas firmas Yara se pueden ir detectando un gran número de APK sospechosas de tener como objetivo no lícito el minado de criptomonedas.

A nivel de tendencias destacan, entre otras, en cuanto a infección de servidores, la distribución de ‘miners’ haciendo uso de vulnerabilidades en los procesos inseguros de deserialización de objetos Java para, tras explotarlas, descargar y ejecutar el ‘miner’ en el servidor comprometido, el aumento de la explotación de las vulnerabilidades CVE-2017-5638 (Apache Struts) y CVE-2017-9822 del servicio DotNetNuke para introducirse en los sistemas y dependiendo de si se trata de un servidor Windows o Linux, cuenta con diferentes Payloads en Powershell o Bash a partir de los cuales descarga el ‘miner’ en el equipo.

En el informe también se recogen una serie de mecanismos de detección para los distintos tipos de ‘miners’ mencionados tanto a nivel de red como de dispositivo y una serie de recomendaciones para protegerse ante este tipo de malware.

Si quieren descargar el informe completo pueden hacerlo desde el siguiente enlace:
https://www.csirtcv.gva.es/sites/all/files/downloads/Cryptomining_Malware.pdf

Actualización de múltiples productos Apple

Apple ha publicado 8 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, Xcode, e iTunes e iCloud para Windows. Entre todos los productos se corrigen 192 fallos de seguridad

Los boletines publicados con las actualizaciones y problemas solucionados se resumen como sigue:

  • El boletín para iOS 11.3, el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), resuelve 43 vulnerabilidades. Este es el boletín más amplio de todos y los problemas corregidos están relacionados con múltiples componentes, entre los que se incluyen‘Mail’, ‘Telephony’, ‘Clock’, ‘Find My iPhone’, el kernel ‘WebKit’ entre otros. Uno de los fallos permitiría a una persona con acceso físico al dispositivo deshabilitar la funcionalidad ‘Find My iPhone‘ sin necesidad de introducir la contraseña.
  • macOS High Sierra 10.13.4 y los Security Update 2018-002 para Sierray El Capitan. En este caso se solucionan 35 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘APFS’, ‘ATS’, ‘CoreText’, ‘IOFireWireFamily’, ‘LaunchServices’, ‘curl’ y el kernel.8 de estas vulnerabilidades podrían permitir la ejecución de código arbitrario -algunas con privilegios de ‘kernel’ o ‘system‘, y adicionalmente otras 10 permitirían elevar los privilegios del usuario.
  • Safari 11.1 representa otro boletín que soluciona 23 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador.
  • El boletín para watchOS 4.3, el sistema operativo destinado a los relojes inteligentes Apple Watch, soluciona 22 vulnerabilidades entre las que también se encuentran algunas que podrían permitir laejecución de código arbitrario y la elevación de privilegios.
  • En el sistema operativo de los televisores de la marca, tvOS 11.3, se corrigen 28 vulnerabilidades en múltiples componentes, la mayoría de ellas (18) podrían permitir la ejecución remota de código arbitrario y otras 4 elevar privilegios en el sistema.
  • Las versiones iTunes 12.7.4 e iCould 7.4 para Windows incluyen la corrección de 20 vulnerabilidades.
  • Por último Xcode 9.3 soluciona múltiples problemas en ‘llvm’.

Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así comoa través de los canales habituales de actualización.

Más información:

 
iOS 11.3: