Investigadores en ciberseguridad detectaron una nueva campaña maliciosa que explota la vulnerabilidad CVE-2021-41773, una falla crítica de recorrido de ruta en Apache HTTP Server versión 2.4.49 con puntuación CVSS de 7,5. Esta brecha permite la ejecución remota de código y está siendo utilizada por actores maliciosos para distribuir un minero de criptomonedas llamado Linuxsys.

Según el análisis de VulnCheck, los atacantes están aprovechando sitios web legítimos que han sido previamente comprometidos. Desde estos sitios, el malware se distribuye de forma silenciosa, dificultando su detección por soluciones de seguridad convencionales. Jacob Baines, investigador de la firma, explicó que el método permite a los atacantes ocultar sus movimientos y facilitar la entrega del software malicioso sin levantar sospechas.

La campaña se originó a principios de mes desde una dirección IP localizada en Indonesia (103.193.177[.]152) y utiliza comandos como curl y wget para descargar una carga útil desde el dominio “repositorylinux[.]org”. Esta carga corresponde a un script de shell que se encarga de descargar e instalar el minero Linuxsys desde al menos cinco sitios web diferentes, todos comprometidos, lo que indica que los atacantes han logrado infiltrarse en múltiples infraestructuras legítimas.

El objetivo del malware es utilizar los recursos del sistema infectado para minar criptomonedas, muy probablemente Monero, sin el consentimiento del usuario. Esta técnica no solo afecta el rendimiento del sistema, sino que también representa un riesgo de seguridad mayor, al abrir la puerta a futuros ataques o infecciones.

Expertos recomiendan actualizar inmediatamente cualquier instancia de Apache afectada, eliminar versiones vulnerables y reforzar las medidas de monitoreo para detectar tráfico inusual o procesos sospechosos relacionados con minería de criptomonedas.

Fuente: thehackernews[.]com