Esta botnet de Linux ha encontrado una forma novedosa de propagarse a nuevos dispositivos

Los usuarios de Linux deben estar atentos a una nueva botnet peer-to-peer (P2P) que se propaga entre redes utilizando claves SSH robadas y ejecuta su malware de criptominería en la memoria de un dispositivo. 

La botnet Panchan P2P fue descubierta por investigadores de Akamai en marzo y la compañía ahora advierte que podría estar aprovechando la colaboración entre instituciones académicas para propagarse al hacer que las claves de autenticación SSH robadas previamente se compartan a través de las redes. 

Pero en lugar de robar la propiedad intelectual de estas instituciones educativas, la botnet Panchan está utilizando sus servidores Linux para extraer criptomonedas. según akamai. 

Usar el hardware de otras personas para extraer criptomonedas puede no ser tan lucrativo como lo fue antes debido al colapso de las criptomonedas que se está produciendo actualmente, pero la plataforma de minería de Panchan no cuesta nada a los alborotadores que la usan. 

Panchan es un cryptojacker que fue escrito en el lenguaje de programación Go. Los cryptojackers abusan del poder de cómputo de otros para minar criptomonedas. 

El protocolo P2P de Panchan se comunica en texto plano sobre TCP pero puede evadir el monitoreo, según Akamai. El malware cuenta con un panel de administración "godmode", protegido con una clave privada, para controlar y distribuir configuraciones de minería de forma remota.    

“El panel de administración está escrito en japonés, lo que sugiere la ubicación geográfica del creador”, señala Steve Kupchik de Akamai. 

“La botnet presenta un enfoque único (y posiblemente novedoso) para el movimiento lateral mediante la recolección de claves SSH. En lugar de solo usar ataques de fuerza bruta o de diccionario en direcciones IP aleatorias como lo hacen la mayoría de las botnets, el malware también lee los archivos id_rsa yknown_hosts para recolectar las credenciales existentes y usarlas para moverse lateralmente a través de la red”.

Aparentemente, los autores de Panchan son fanáticos del lenguaje de programación Go, que fue creado por los ingenieros de Google en 2007. Quien escribió Panchan compiló el malware utilizando la versión 1.18 de Go, que Google lanzó en marzo. 

En cuanto a la red P2P, Akamai encontró 209 pares, pero solo 40 de ellos están actualmente activos y en su mayoría estaban ubicados en Asia.   

¿Por qué la educación es más impactada por Panchan? 

Akamai supone que esto podría deberse a una higiene deficiente de las contraseñas o a que el malware se mueve a través de la red con claves SSH robadas. 

“Los investigadores de diferentes instituciones académicas pueden colaborar con más frecuencia que los empleados del sector empresarial y requieren credenciales para autenticarse en máquinas que están fuera de su organización/red. Reforzando esa hipótesis, vimos que algunas de las universidades involucradas eran del mismo país (p. ej., España) y otras de la misma región (p. ej., Taiwán y Hong Kong)”, señala Kupchik.

Las características del gusano del malware se basan en SSH que se adquieren buscando claves SSH existentes o probando credenciales fáciles de adivinar o predeterminadas.