Sophos ha vinculado MrbMiner Botnet a una empresa de software iraní

MrbMiner, una botnet de minería de criptomonedas que ha estado activa desde el año pasado, está vinculada a una empresa de software en Irán. Los investigadores de Sophos estudiaron el funcionamiento de la botnet y su dominio de adquisición de carga útil para descubrir un servidor, que está alojado en Irán, y también alberga varios otros dominios maliciosos.

MrbMiner Botnet vinculado a operadores iraníes

MrbMiner cripto-mineríaMrbMiner estaba visto inicialmente por el equipo de seguridad de Tencent en septiembre del año pasado, donde dijeron que la botnet minera ha estado operativa desde el verano del mismo año. Comienza con un ataque de fuerza bruta a las bases de datos de Microsoft SQL con contraseñas débiles y obtiene acceso.

Una vez dentro, establecerá una puerta trasera con credenciales. Estándar como nombre de usuario y @ fg125kjnhn987 como contraseña. Esta configuración se utiliza para transportar la carga útil del minero desde varias fuentes, como mrbfile.xyz o mrbftp.xyz. Luego comenzarían a extraer criptomonedas utilizando los recursos de la víctima para su beneficio.

Lea también – Las mejores aplicaciones de criptomonedas para Android

Hoy, Investigadores de Sophos enumeraron a los operadores de esta botnet como de Irán, ya que encontraron varias pistas que vinculaban a la botnet con una empresa de software en Shiraz, Irán, tras comprobar los dominios de los que la botnet está adquiriendo la carga útil, la ubicación del servidor y el mecanismo de funcionamiento de la botnet.

Gabor Szappanos y Andrew Brandt de Sophos dijo,

«Cuando vemos dominios web que pertenecen a una empresa legítima involucrada en un ataque, es mucho más común que los atacantes simplemente aprovechen un sitio web para (temporalmente, en la mayoría de los casos) usar sus recursos de alojamiento web para crear un sitio ‘neutral’ donde pueden alojar la carga útil del malware. «

Dijeron que la carga útil del dominio se trajo de vihansoft.ir, que está alojado en el mismo servidor que aloja varios dominios que sirven a la misma botnet. Además, se dice que los piratas informáticos estaban utilizando el servidor como C2. Una de las razones por las que la empresa de software estaba dejando rastros puede ser su imprudencia.

Dado que el gobierno iraní no va a entregar a ninguno de sus ciudadanos a los gobiernos occidentales tan fácilmente, los piratas informáticos nativos trabajan casi abiertamente. Aunque Sophos los ha detectado y detallado ahora, no interrumpirá sus operaciones de ninguna manera.