Nueva variante de malware infectando implementaciones de Jenkins, Tomcat, WebLogic, entre otras

Expertos en ciberseguridad acaban de descubrir una nueva variante de malware basada en Golang capaz de distribuirse automáticamente a través de servidores Windows y Linux. Este es un malware multiplataforma con capacidades de gusano que le permiten desplegarse mediante ataques de fuerza bruta contra servicios como Tomcat, Jenkins, WebLogic, entre otros, en especial si cuentan con contraseñas débiles.

Los hackers también cuentan con un servidor C&C a través del cual lanzan actualizaciones de forma constante, lo que indica un mantenimiento activo de esta variante de malware. Este servidor C&C aloja una secuencia de comandos PowerShell, el gusano binario basado en Golang, además del cryptojacker XMRig, empleado para minar la criptomoneda Monero sin que el usuario pueda detectar la actividad maliciosa.

Como se menciona anteriormente, el malware se propaga a otras computadoras mediante la búsqueda y el ataque de fuerza bruta contra implementaciones de MySql, Tomcat y Jenkins. Los expertos también detectaron versiones anteriores del gusano tratando de explotar CVE-2020-14882, una falla de ejecución remota de código en Oracle WebLogic.

Después de comprometer los servidores atacados, se implementa el script para cargar el binario y el software de criptominado. Este malware también puede detener su ejecución de forma automática si detecta que los sistemas infectados están siendo monitoreados a través del puerto 52013; si este puerto no está en uso, el gusano iniciará su propio conector de red.

Como método de protección contra estos ataques, los expertos recomiendan limitar los inicios de sesión en los sistemas vulnerables, además de establecer contraseñas difíciles de adivinar en un ataque de fuerza bruta y habilitar mecanismos de autenticación multifactor. Instalar las actualizaciones de software emitidas por los fabricantes también es una buena medida para evitar esta clase de infecciones, ya que estos ataques suelen depender de implementaciones no actualizadas.

El cargo Nueva variante de malware infectando implementaciones de Jenkins, Tomcat, WebLogic, entre otras apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.