• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / OSS Buckets de Alibaba comprometidos para distribuir shell scripts maliciosos mediante esteganografía

OSS Buckets de Alibaba comprometidos para distribuir shell scripts maliciosos mediante esteganografía

27 julio, 2022 Por xvgas Deja un comentario

Investigadores de Trend Micro han identificado una campaña maliciosa que utiliza el servicio de almacenamiento de objetos (OSS) de Alibaba Cloud (también conocido como Aliyun) para la distribución de malware y actividades ilícitas de minería de criptomonedas mediante el uso de esteganografía.

El OSS es un servicio que permite a los clientes de Alibaba Cloud almacenar en la nube datos como imágenes de aplicaciones web e información de copias de seguridad. 

No es la primera vez que vemos a actores maliciosos lanzar ataques contra la infraestructura de Alibaba Cloud con fines de criptojacking.

El papel de la esteganografía en la distribución del malware en los cubos de OSS explotados

Los investigadores verificaron cómo los actores maliciosos cargaban imágenes que contenían un script de shell incrustado en imágenes almacenadas en los cubos de OSS comprometidos utilizando técnicas de esteganografía.

 El shell script malicioso incrustado dentro de un archivo PNG

Los autores del malware utilizan el programa de utilidad de línea de comandos Unix dd para extraer el script de shell malicioso una vez finalizada la descarga.

Los scripts maliciosos apuntan a instancias de Redis mal configuradas para minar Monero

El propio payload minaba Monero de forma ilícita utilizando XMRig, un minero de Monero de código abierto y multiplataforma. La campaña utilizaba el pool xmr-asia1[.]nanopool[.]org.

Los scripts de shell maliciosos también se dirigían a instancias de Redis mal configuradas, de las que se puede abusar para realizar una ejecución remota de código (RCE). Esto es similar a lo que han hecho en el pasado varios actores de amenazas involucrados en una competición de criptojacking (como TeamTNT y Kinsing).

Más información:

https://www.trendmicro.com/en_us/research/22/g/alibaba-oss-buckets-compromised-to-distribute-malicious-shell-sc.html?utm_source=trendmicroresearch&utm_medium=smk&utm_campaign=0722_Alibaba

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Técnicas de Análisis Forense

Hacking Windows

Spring Boot & Angular

Publicado en: Ataques, General, Malware Etiquetado como: malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Cisco afectada por ransomware Yanluowang
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...