Una botnet de adware y minería de monedas dirigida a Rusia, Ucrania, Bielorrusia y Kazajstán al menos desde 2012 ahora ha puesto su mirada en los servidores Linux para volar bajo el radar.
Según un nuevo análisis publicado hoy por Intezer y compartido con The Hacker News, el troyano se hace pasar por HTTPd , un programa de uso común en servidores Linux, y es una nueva versión del malware que pertenece a un actor de amenazas rastreado como Stantinko.
En 2017, los investigadores de ESET detallaron una botnet masiva de adware que funciona engañando a los usuarios que buscan software pirateado para que descarguen ejecutables maliciosos disfrazados de torrents para instalar extensiones de navegador fraudulentas que realizan la inyección de anuncios y el fraude de clics.
La campaña encubierta, que controla un vasto ejército de medio millón de bots, ha recibido desde entonces una actualización sustancial en forma de un módulo de cripto minería con el objetivo de sacar provecho de las computadoras bajo su control.
Aunque Stantinko ha sido tradicionalmente un malware de Windows, la expansión de su conjunto de herramientas para apuntar a Linux no pasó desapercibida, y ESET observó un proxy troyano de Linux implementado a través de binarios maliciosos en servidores comprometidos.
La última investigación de Intezer ofrece nuevos conocimientos sobre este proxy de Linux, específicamente una versión más reciente (v2.17) del mismo malware (v1.2) llamada «httpd», con una muestra del malware cargada en VirusTotal el 7 de noviembre desde Rusia.
Tras la ejecución, «httpd» valida un archivo de configuración ubicado en «etc / pd.d / proxy.conf» que se entrega junto con el malware, y lo sigue creando un socket y un oyente para aceptar conexiones de lo que los investigadores creen que son otros sistemas infectados.
Una solicitud HTTP Post de un cliente infectado allana el camino para que el proxy pase la solicitud a un servidor controlado por el atacante, que luego responde con una carga útil adecuada que el proxy reenvía al cliente.
En el caso de que un cliente no infectado envíe una solicitud HTTP Get al servidor comprometido, se devuelve un redireccionamiento HTTP 301 a una URL preconfigurada especificada en el archivo de configuración.
Al afirmar que la nueva versión del malware solo funciona como un proxy, los investigadores de Intezer dijeron que la nueva variante comparte varios nombres de funciones con la versión anterior y que algunas rutas codificadas tienen similitudes con campañas anteriores de Stantinko.
«Stantinko es el último malware que ataca servidores Linux a volar bajo el radar, junto con amenazas como Doki , IPStorm y RansomEXX «, dijo la firma. «Creemos que este malware es parte de una campaña más amplia que aprovecha los servidores Linux comprometidos».