El equipo de seguridad de GuardiCore ha descubierto una manipulación maliciosa del tráfico y una campaña de minería de criptomoneda, según un anuncio publicado el 6 de junio. La campaña infectó a más de 40.000 máquinas de diversas industrias, incluidas las finanzas, la educación y el gobierno.
La campaña llamada Operación Prowli utilizó varias técnicas como exploits y contraseña por fuerza bruta para propagar malware y apoderarse de dispositivos, tales como servidores web, módems y dispositivos de Internet de las cosas (IoT). GuardiCore encontró que los atacantes detrás de Prowli estaban enfocados en hacer dinero en lugar de ideología o espionaje.
Según el informe, los dispositivos comprometidos estaban infectados con un minero de Monero (XMR) y el gusano r2r2, un malware que ejecuta ataques de fuerza bruta SSH desde los dispositivos pirateados, y respalda a Prowli para afectar a nuevas víctimas. En otras palabras, mediante la generación aleatoria de bloques de direcciones IP, r2r2 intenta iniciar sesión con fuerza bruta SSH con un diccionario de usuario/contraseña, y después de entrar ejecuta una serie de comandos sobre la víctima. El GuardiCore escribió:
"Todos los ataques se comportaron de la misma manera, comunicándose con el mismo servidor de C&C para descargar un número de herramientas de ataque llamadas r2r2 junto con un minero de criptomonedas."
Además, los ciberdelincuentes utilizaban una cubierta web de código abierto llamada "WSO Web Shell" para alterar los sitios web comprometidos y alojar código malicioso que redirige a los visitantes a un sistema de distribución de tráfico, que a su vez los redirecciona a otros sitios maliciosos. Una vez redirigidos a un sitio web falso, los usuarios eran víctimas de hacer clic en extensiones de navegador maliciosas. El equipo de GuardiCore informó que Prowli logró comprometer a más de 9.000 empresas.
El mes pasado, una nueva pieza de cryptojacking malware utilizó medio millón de ordenadores para minar 133 tokens de Monero en tres días. La empresa de seguridad cibernética 360 Total Security descubrió que el malware, conocido como WinstarNssmMiner, representa un nuevo desafío para los usuarios, debido a su capacidad para minar y destruir los equipos infectados.