Se estima que la botnet de malware conocida como Ebury ha comprometido 400.000 servidores Linux desde 2009, y más de 100.000 de ellos seguirán comprometidos a finales de 2023.
Los hallazgos provienen de la firma eslovaca de ciberseguridad ESET, que lo caracterizó como uno de los ataques de malware del lado del servidor más sofisticados con fines de lucro.
“Todos los actores han llevado a cabo actividades de monetización. […]En un análisis detallado, el investigador de seguridad Marc-Etienne M. Léveillé afirmó que “se están llevando a cabo una variedad de ataques, incluida la propagación de spam, la redirección del tráfico web y el robo de credenciales”.
“[The] Los operadores también han estado implicados en el robo de criptomonedas utilizando AitM y el robo de tarjetas de crédito mediante escuchas ilegales en el tráfico de la red, comúnmente conocido como skimming web del lado del servidor. “
Ebury fue documentado por primera vez hace más de una década como parte de una campaña denominada Operación Windigo. La campaña también implementó otras puertas traseras y scripts como Cdorked y Calfbot que apuntan a servidores Linux e implementan malware para redirigir el tráfico web y enviar spam.
Luego, en agosto de 2017, el ciudadano ruso Maxim Senak fue sentenciado a casi cuatro años de prisión en los Estados Unidos por su papel en el desarrollo y mantenimiento de malware botnet.
“Cenak y sus cómplices utilizaron la botnet Ebury para generar y redirigir el tráfico de Internet y facilitar diversos esquemas de fraude de clics y correo electrónico no deseado, generando millones de dólares en ingresos fraudulentos”, anunció en ese momento el Departamento de Justicia.
“Como parte de su acusación, Cenak creó una cuenta con un registrador de dominios que ayudó a desarrollar la infraestructura de la botnet Ebury y se benefició personalmente del tráfico generado por la botnet Ebury para apoyar a una organización criminal. Lo admití”.
La investigación de ESET reveló una variedad de enfoques utilizados por los atacantes para atacar Ebury. Estos incluyen robo de credenciales SSH, relleno de credenciales, infiltración en la infraestructura del proveedor de alojamiento, explotación de fallas en el panel web de control (por ejemplo, CVE-2021-45467), ataques de intermediario SSH (AitM), etc. Incluye métodos.
Los actores de amenazas utilizan identidades falsas o robadas, además de utilizar malware para comprometer la infraestructura utilizada por otros atacantes, para lograr sus objetivos y confundir la identidad de los atacantes. También se ha confirmado que ocultan sus rastros.
“A modo de ejemplo, un servidor que recopila datos de Vidar Stealer se vio comprometido”, dijo ESET. “Los atacantes de Ebury utilizaron identidades robadas a través de Vidar Stealer para alquilar la infraestructura del servidor y operar, engañando a las autoridades”.
En otro ejemplo, Ebury supuestamente fue utilizado para infiltrarse en uno de los sistemas del creador de la botnet Mirai y robar código mucho antes de que se hiciera público.
El malware actúa como puerta trasera y ladrón de credenciales dentro del demonio OpenSSH, lo que permite a los atacantes implementar cargas útiles adicionales como HelimodSteal, HelimodRedirect y HelimodProxy para expandir su presencia dentro de las redes comprometidas. La última versión de Ebury conocida hasta la fecha es la 1.8.2.
El artefacto Ebury actualizado incluye una nueva técnica de ofuscación, el algoritmo de generación de dominio (DGA), y oculta de manera más efectiva su presencia al actuar como un rootkit de usuario cuando se introduce dentro del shell de una sesión SSH.
“El objetivo común de estas herramientas es obtener dinero de servidores comprometidos de diversas formas”, dijo ESET. “Los métodos para obtener dinero de los servidores van desde el robo de información de tarjetas de crédito y criptomonedas hasta redirigir el tráfico, enviar spam y robar credenciales”.
HelimodSteal, HelimodRedirect y HelimodProxy son todos módulos de servidor HTTP Apache que se utilizan para interceptar solicitudes HTTP POST a servidores web, redirigir solicitudes HTTP a anuncios y tráfico proxy para enviar spam. Otra nueva herramienta empleada es un módulo del kernel llamado KernelRedirect que implementa enlaces Netfilter para modificar el tráfico HTTP y realizar redirecciones.
También utilizan software para ocultar el tráfico malicioso o pasarlo a través de firewalls, y realizan ataques AitM a gran escala dentro de los centros de datos de los proveedores de alojamiento para comprometer objetivos valiosos. También se utilizan scripts Perl para robar criptomonedas de billeteras existentes.
Se cree que hasta 200 servidores en más de 75 redes en 34 países fueron atacados de esta manera entre febrero de 2022 y mayo de 2023.
HelimodSteal también está diseñado para capturar datos de tarjetas de crédito que las víctimas envían a tiendas en línea y actúa como un skimmer web del lado del servidor para que los servidores infectados extraigan la información recibida.
En otra serie de eventos, Ebury o FrizzySteal podrían obtener detalles financieros. Ebury, o FrizzySteal, es una biblioteca compartida maliciosa que se inyecta en libcurl y puede robar solicitudes realizadas desde un servidor comprometido a servidores HTTP externos, como procesadores de pagos.
“El cifrado de extremo a extremo (HTTPS) no puede proteger contra esta amenaza, ya que ambos se ejecutan dentro del servidor web o la aplicación”, señaló ESET.
“Al acceder a los servidores utilizados para alojamiento compartido, los atacantes pueden obtener acceso a grandes cantidades de tráfico web no cifrado. Los atacantes pueden aprovechar esto redirigiendo en secreto y enviando los detalles.
¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
Fuente: https://thehackernews.com/2024/05/ebury-botnet-malware-compromises-400000.html