Trend Micro: Los ciberdelincuentes utilizan trucos de ofuscación para instalar malware de criptominería

La empresa de ciberseguridad Trend Micro ha confirmado que los atacantes han estado explotando una vulnerabilidad en el servidor Oracle WebLogic para instalar malware de minería de monero (XMR), al tiempo que utilizan archivos de certificados como truco de ofuscación. La noticia fue revelada en una entrada del blog de Trend Micro publicada el 10 de junio.

Como se informó anteriormente, también se hace referencia a las formas de criptominería oculta con el término de la industria criptojacking - la práctica de instalar malware que utiliza la capacidad de procesamiento de un ordenador para minar criptomonedas sin el consentimiento o conocimiento del propietario.

Según el post de Trend Micro, un parche de seguridad para la vulnerabilidad Oracle WebLogic ("CVE-2019-2725"), supuestamente causada por un error de deserialización, se publicó en la base de datos nacional de vulnerabilidades a principios de esta primavera.

Sin embargo, Trend Micro cita informes que surgieron sobre el foro SANS ISC InfoSec alegando que la vulnerabilidad ya ha sido explotada con fines de piratería informática, y confirma que ha verificado y analizado las alegaciones.

La empresa señala que los ataques identificados desplegaron lo que describe como "un giro interesante", es decir, que "el malware oculta sus códigos maliciosos en los archivos de certificados como una táctica de ofuscación":

"La idea de utilizar archivos de certificado para ocultar malware no es nueva [...] Al utilizar archivos de certificado con fines de ofuscación, un trozo de malware puede evadir la detección, ya que el archivo descargado se encuentra en un formato de archivo de certificado que se considera normal, especialmente cuando se establecen conexiones HTTPS".

El análisis de Trend Micro comienza observando que el malware explota CVE-2019-2725 para ejecutar un comando de PowerShell, lo que provoca la descarga de un archivo de certificado desde el servidor de comando y control.

Después de continuar trazando sus pasos y características - incluyendo la instalación de la carga útil del minero de XMR - Micro Trend observa una aparente anomalía en su implementación actual:

"De forma bastante simple, al ejecutar el comando PS desde el archivo de certificado dec