ZombieBoy, un nuevo malware de minado de Monero
- Actualidad
El malware se vale del escáner TCP WinEggDrop para buscar nuevos hosts y propagarse. Para infectar a la víctima utiliza la herramienta "ZombieBoyTools", que aprovecha los exploits EternalBlue y DoublePulsar para instalar un archivo DLL malicioso en la máquina de la víctima.
|
También puedes leer... |
Bautizado así por el analista de seguridad James Quinn, ZombieBoy es una nueva familia de malware de minado de criptomonedas, en concreto de Monero, el cual tiene características de gusano.
Para infectar a la víctima, el malware utiliza la herramienta ZombieBoyTools, que aprovecha dos conocidos exploits, EternalBlue y DoublePulsar, para instalar un archivo DLL malicioso en la máquina de la víctima, tras lo cual se descarga y ejecuta el binario "123.exe", que se encargará de descargar el resto de componentes del malware.
Uno de estos componentes es "64.exe", que encarga de la propagación del virus y de ejecutar el minero (XMRIG), para lo que utiliza "WinEggDrop" un escaner TCP que buscará víctimas potenciales contra las que ejecutar el exploit DoublePulsar. Otro componente descargado tiene el nombre de "74.exe", que se encarga de descargar y ejecutar la DLL "NetSyst96.dll", que permitirá al administrador del malware realizar algunas acciones sobre la máquina infectada de forma remota, como capturar la pantalla, grabar sonidos o alterar el portapapeles de la víctima.
"84.exe" es otro de los módulos droppeados por "123.exe". Al igual que "74.exe" es un RAT utilizado para extraer información adicional sobre la víctima, incluido sistema operativo utilizado, velocidad de la CPU o antivirus instalados. Además, añade una entrada al registro que sirve para comprobar si el malware se está ejecutando por primera vez.
