Los servidores de almacenamiento conectado en red (NAS) de Seagate Central se están utilizando para distribuir malware que genera las monedas criptográficas Monero para los atacantes.
Los investigadores de seguridad de Sophos han descubierto la amenaza, que está activa desde julio y afecta a varios servidores FTP, pero que acaba de alojarse en Seagate para expandir sus operaciones. La misma estructura de operaciones de Seagate promueve el acceso remoto a sus servidores al estar diseñada para que diferentes dispositivos accedan al mismo almacenamiento desde cualquier lugar.
Esta es una característica primordial para el funcionamiento del programa, por lo que los investigadores de Sophos detectaron 7.000 dispositivos que tenían activado el acceso remoto, 70% de los cuales estaban infectados con el programa malicioso.
El malware Mal/Miner-C se aloja en los servidores para infectar los dispositivos que intentan acceder a su almacenamiento. El programa se propaga mediante las carpetas públicas compartidas con un archivo SCR que se hace pasar por una carpeta de imágenes de Windows llamada “fotos”, con la esperanza de que los usuarios intenten abrirla.
“Cuando se pulsa en ella, el programa malicioso se instala en el sistema e inicia un proceso de extracción de monedas criptográficas, dejándole una pequeña ganancia a los cibercriminales”, explicó Gavin Millard, director técnico de Tenable Network Security.
Pero los atacantes son selectivos a la hora de escoger a sus víctimas: antes de atacar revisan su CPU y GPE para asegurarse de que tenga recursos suficientes para extraer la mayor cantidad de Moneros en el menor tiempo posible.
El programa cuenta con un archivo de inicialización que le ayuda a evadir los sistemas de seguridad y ofrece a los cibercriminales la posibilidad de cambiar el tipo de ataque si la minería de Moneros deja de ser rentable.
Seagate dijo que estaba al tanto de la amenaza y que sus usuarios podían protegerse usando la opción de acceso remoto seguro: “Seagate Central ofrece acceso remoto mediante varios métodos, incluyendo acceso remoto seguro y FTPs anónimos/seguros (…). Seagate urge a los usuarios a que usen el acceso remoto seguro como método predeterminado y a que se aseguren de que el redireccionamiento de puertos FTP esté desactivado”, dijo un portavoz de la compañía.
Fuentes
Malware que extrae monedas criptográficas se instala en Seagate Central