Vulnerabilidad en XWiki
Según un informe reciente, los hackers están aprovechando una vulnerabilidad de seguridad en XWiki, una plataforma web para la creación de contenido, para ejecutar programas en computadoras ajenas. El error en el sistema de plantillas de XWiki ha permitido a los actores maliciosos minar la criptomoneda Monero (XMR) sin autorización.
Método de ataque
Los hackers envían una solicitud que descarga un pequeño programa (x640) en la computadora de una víctima desafortunada. Posteriormente, otra solicitud ejecuta este programa, que a su vez descarga dos scripts adicionales (x521 y x522) que instalan un minero de Monero (tcrond) y lo ponen en funcionamiento, deteniendo cualquier otra actividad de minería en la máquina infectada.
Consecuencias del ataque
Los tokens de Monero minados con la computadora comprometida son enviados a través de c3pool.org. El informe de Hacker News, que cita datos de la CISA, también menciona vulnerabilidades de seguridad en DELMIA Apriso que permitieron a los hackers ejecutar código de forma remota de manera similar.
Recomendaciones para las víctimas
«Aquellos que potencialmente han sido víctimas de cryptojacking, la práctica de minar criptomonedas ilegalmente utilizando la máquina de otra persona, deben bloquear las IPs y monitorear la red en busca de conexiones a c3pool.org.»
Por supuesto, también es fundamental eliminar los archivos asociados con el minero si se encuentran en la computadora afectada.
