Más de 4,000 IPs de ISP atacadas en campañas de fuerza bruta para desplegar robadores de información y mineros de criptomonedas

Más de 4,000 IPs de ISP atacadas en campañas de fuerza bruta para desplegar robadores de información y mineros de criptomonedas
Seguridad Informática Autor: Condorsoft

En un reciente y alarmante descubrimiento, más de 4,000 direcciones IP pertenecientes a proveedores de servicios de internet (ISP) en China y la Costa Oeste de los Estados Unidos han sido el blanco de una sofisticada campaña de explotación masiva. Esta campaña tiene como objetivo principal desplegar robadores de información y mineros de criptomonedas en los sistemas comprometidos.

El equipo de investigación de amenazas de Splunk ha sido el encargado de sacar a la luz estos hallazgos, destacando que los actores detrás de estos ataques también han logrado distribuir varios binarios que facilitan la exfiltración de datos y establecen métodos para mantener la persistencia en los sistemas afectados. Lo más preocupante es que estos atacantes han llevado a cabo operaciones mínimamente intrusivas para evitar ser detectados, utilizando principalmente herramientas basadas en lenguajes de scripting como Python y PowerShell, lo que les permite operar en entornos restringidos y utilizar llamadas API para sus operaciones de comando y control (C2).

Los ataques, que se originan desde direcciones IP asociadas con Europa del Este, han explotado credenciales débiles mediante técnicas de fuerza bruta. Una vez que obtienen acceso inicial, los atacantes proceden a descargar varios ejecutables a través de PowerShell para realizar escaneos de red, robo de información y minería de criptomonedas utilizando XMRig, abusando así de los recursos computacionales de las víctimas.

Antes de ejecutar estos payloads, los atacantes llevan a cabo una fase preparatoria que incluye desactivar características de productos de seguridad y terminar servicios relacionados con la detección de mineros de criptomonedas. Además, el malware robador de información tiene la capacidad de capturar capturas de pantalla y funciona de manera similar a un malware clipper, diseñado para robar contenido del portapapeles buscando direcciones de billeteras de criptomonedas como Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (ETHBEP2), Litecoin (LTC) y TRON (TRX).

La información recopilada es posteriormente exfiltrada a un bot de Telegram. También se descarga un binario en la máquina infectada que lanza cargas útiles adicionales, como Auto.exe, diseñado para descargar una lista de contraseñas (pass.txt) y una lista de direcciones IP (ip.txt) desde su servidor de C2 para llevar a cabo ataques de fuerza bruta, y Masscan.exe, una herramienta de escaneo masivo.

Este tipo de ataques no solo representan una amenaza significativa para la seguridad de los datos y la privacidad de los usuarios, sino que también subrayan la importancia de adoptar medidas de seguridad robustas, como el uso de credenciales fuertes y la implementación de soluciones de seguridad avanzadas para proteger la infraestructura de red.