MrbMiner, una botnet de minería de criptomonedas que está activa desde el año pasado, ha sido vinculada a una empresa de software en Irán. Los investigadores de Sophos han estudiado el funcionamiento de la botnet y su dominio de adquisición de carga útil para descubrir un servidor, que está alojado en Irán, y también alberga muchos otros dominios maliciosos.
MrbMiner Botnet vinculado a operadores iraníes
mrbminer era visto inicialmente por el equipo de Tencent Security en septiembre del año pasado, donde dijeron que la botnet minera está operativa desde el verano del mismo año. Comienza con un ataque de fuerza bruta a las bases de datos de Microsoft SQL que tienen contraseñas débiles y obtiene acceso.
Una vez dentro, establecerá una puerta trasera con credenciales Por defecto como nombre de usuario y @fg125kjnhn987 como contraseña. Esta configuración se usa para transportar la carga útil del minero desde varias fuentes, como mrbfile.xyz o mrbftp.xyz. Luego comenzarían a extraer criptomonedas utilizando los recursos de la víctima para su beneficio.
Lea también: las mejores aplicaciones de criptomonedas para Android
Hoy, Investigadores de Sophos han vinculado a los operadores de esta botnet para ser de Irán, ya que han encontrado varias pistas que vinculan la botnet con una empresa de software en Shiraz, Irán. Obtuvieron esto después de verificar los dominios de los que la red de bots obtiene la carga útil, la ubicación del servidor y el mecanismo de trabajo de la red de bots.
Gabor Szappanos y andres brandt de Sophos dijo,
“Cuando vemos dominios web que pertenecen a un negocio legítimo implicado en un ataque, es mucho más común que los atacantes simplemente aprovecharan un sitio web para (temporalmente, en la mayoría de los casos) usar sus capacidades de alojamiento web para crear un “punto muerto” donde pueden alojar la carga útil del malware.”
Dijeron que la carga útil del dominio se trajo de vihansoft.ir, que está alojado en el mismo servidor que alberga varios dominios que sirven a la misma red de bots. Además, se dice que el servidor se estaba utilizando como C2 para los piratas informáticos. Una de las razones por las que la compañía de software estaba dejando huellas podría ser su imprudencia.
Dado que el gobierno iraní no entregará tan fácilmente a ninguno de sus ciudadanos a los gobiernos occidentales, los piratas informáticos nativos trabajan casi abiertamente. Aunque Sophos los detectó y detalló ahora, no va a molestar sus operaciones de ninguna manera por esto.
