Hacker explotan vulnerabilidad de Apache para lanzar carga útil de Criptominer de Linuxsys

HomeNews* Los investigadores descubrieron un nuevo ataque que explota una vulnerabilidad conocida en Apache HTTP Server para desplegar el minero de criptomonedas Linuxsys.

• Los atacantes utilizan sitios web legítimos comprometidos y la falla de recorrido de ruta CVE-2021-41773 para evadir la detección y propagar malware.
• El malware se distribuye a través de scripts de shell y se lanza automáticamente después del reinicio del sistema; la evidencia muestra que la amenaza también tiene como objetivo los sistemas Windows.
• Esta campaña aprovecha diversas vulnerabilidades de software conocidas, sugiriendo un esfuerzo coordinado a largo plazo para la minería ilícita de monedas.
• Una campaña separada utiliza una sofisticada puerta trasera llamada GhostContainer para apuntar a los servidores de Exchange gubernamentales en Asia para espionaje. Las empresas de ciberseguridad han identificado una nueva campaña de malware donde los atacantes explotan una vulnerabilidad de seguridad en el servidor Apache HTTP para distribuir una herramienta de minería de criptomonedas llamada Linuxsys. Los ataques, detectados en julio de 2025, apuntan específicamente al bug CVE-2021-41773 en la versión 2.4.49 de Apache, lo que permite a usuarios no autorizados ejecutar código de forma remota en servidores vulnerables.

• Anuncio - Los actores de amenazas distribuyen el malware comprometendo sitios web legítimos y utilizándolos como puntos de entrega. Según VulnCheck, los atacantes inician infecciones desde una dirección IP de Indonesia y utilizan un servidor de descarga, “repositorylinux[.]org,” para obtener scripts de shell maliciosos. Estos scripts son responsables de descargar el minero Linuxsys desde varios dominios de confianza, lo que dificulta la detección ya que las conexiones utilizan certificados SSL válidos.

El script de shell automatiza el proceso de instalación y despliega otro script, “cron.sh,” que asegura que el minero se inicie cada vez que el sistema se reinicia. VulnCheck observó que algunos de los sitios comprometidos también contienen archivos de malware de Windows, lo que indica que el alcance de la campaña puede extenderse más allá de los sistemas Linux. Los atacantes han explotado previamente vulnerabilidades críticas, como una falla en OSGeo GeoServer GeoTools (CVE-2024-36401), para actividades similares de minería. Los comentarios dentro del código fuente del malware están escritos en sundanés, lo que sugiere una conexión con Indonesia.

Otras vulnerabilidades de software utilizadas en ataques pasados para desplegar el minero incluyen inyección de plantillas en Atlassian Confluence (CVE-2023-22527), inyección de comandos en Chamilo LMS (CVE-2023-34960), y fallas similares en Metabase y cortafuegos de Palo Alto (CVE-2024-0012 y CVE-2024-9474). “Todo esto indica que el atacante ha estado llevando a cabo una campaña a largo plazo, empleando técnicas consistentes como la explotación de días n, el alojamiento de contenido en hosts comprometidos y la minería de monedas en máquinas víctimas,” informó VulnCheck.

En un incidente separado, Kaspersky advirtió sobre un ataque dirigido contra servidores gubernamentales en Asia a través de un malware personalizado llamado GhostContainer. Los atacantes pueden haber explotado un error de ejecución remota de código (CVE-2020-0688) en Microsoft Exchange Servers. Esta puerta trasera permite el acceso total a los servidores comprometidos sin conectarse a centros de comando externos, ocultando instrucciones dentro de solicitudes web normales, lo que aumenta el sigilo.

Las campañas demuestran un objetivo persistente de vulnerabilidades de software públicamente conocidas y tácticas sofisticadas para mantener un perfil bajo mientras llevan a cabo operaciones de minería y espionaje.

Artículos Anteriores:

• La amenaza de aranceles de Trump descarrila el impulso de BRICS por una moneda común
• La Axiología de Lituania obtiene licencia DLT para el comercio de bonos digitales
• BlackRock invierte $916M en Bitcoin, Ethereum a medida que las inversiones en criptomonedas aumentan
• Bitcoin alcanza los $123K mientras el informe del grupo de trabajo de Trump genera expectación en el mercado
• XRP se acerca a una capitalización de mercado de $200B, surge un 35% frente a Bitcoin en julio

• Publicidad -