Gusano Gitpaste-12 se dirige a servidores Linux y dispositivos IoT

Investigadores han descubierto un nuevo gusano dirigido a servidores x86 basados ​​en Linux, así como a dispositivos de Internet de las cosas (IoT) de Linux (que se basan en CPU ARM y MIPS).

Es de destacar que el malware utiliza GitHub y Pastebin para albergar el código de componentes maliciosos y tiene al menos 12 módulos de ataque diferentes disponibles, lo que lleva a los investigadores a llamarlo «Gitpaste-12». Fue detectado por primera vez por Juniper Threat Labs en ataques el 15 de octubre de 2020.

«No es bueno tener malware, pero los gusanos son particularmente molestos», dijeron investigadores de Juniper Threat Labs en una publicación del jueves . «Su capacidad para propagarse de forma automatizada puede provocar una propagación lateral dentro de una organización o que sus hosts intenten infectar otras redes a través de Internet, lo que da como resultado una mala reputación para su organización».

La primera fase del ataque es el compromiso inicial del sistema. Los diversos módulos de ataque del malware incluyen 11 vulnerabilidades reveladas anteriormente. Eso incluye fallas en Apache Struts (CVE-2017-5638), enrutadores Asus (CVE-2013-5948), complemento Webadmin para opendreambox (CVE-2017-14135) y enrutadores Tenda (CVE-2020-10987).

El malware intentará utilizar exploits conocidos para estas fallas para comprometer los sistemas y también puede intentar usar contraseñas por fuerza bruta, dijeron los investigadores. Después de comprometer un sistema, se carga un script de shell principal en la máquina víctima y comienza a descargar y ejecutar otros componentes de Gitpaste-12.

El malware también tiene algunos comandos que desactivan los agentes de seguridad en la nube, «lo que indica claramente que el actor de la amenaza tiene la intención de apuntar a la infraestructura de computación en la nube pública proporcionada por Alibaba Cloud y Tencent», dijeron los investigadores.

Gitpaste-12 también cuenta con comandos que le permiten ejecutar un criptominer que apunta a la criptomoneda Monero.

Finalmente, el malware también contiene una biblioteca (hide.so) que se carga como LD_PRELOAD, que descarga y ejecuta archivos Pastebin (https: // pastebin [.] Com / raw / Tg5FQHhf) que aloja más código malicioso.

Los investigadores dijeron que informaron la URL de Pastebin, así como el repositorio de Git mencionado anteriormente que descarga scripts maliciosos para el malware. El repositorio de Git se cerró el 30 de octubre de 2020. “Esto debería detener la proliferación de esta botnet”, dijeron los investigadores.