Descubierta una nueva campaña de cryptojacking de Monero
- Actualidad
Los investigadores de Check Point han detectado una nueva variantes del malware de crytojacking de Monero, con gran potencial para utilizar herramientas y vulnerabilidades de Windows. Según la firma, se trata de una importante amenaza para las empresas.
Check Point ha descubierto una nueva campaña de cryptojacking que supone una importante amenaza para las organizaciones por su potencial para utilizar herramientas y vulnerabilidades de Windows para infectar redes de ordenadores interconectados. Esta nueva variante lleva activa varios meses y guarda muchas similitudes con las técnicas de infección y propagación de ataques anteriores de ransomware, según informa el equipo de investigación de la compañía.
Una vez el troyano ha sido ejecutado en la carpeta ‘User Temporary’, el primer objetivo de este ataque se centra en detener las versiones de sí mismo que se hayan ejecutado con anterioridad en ese mismo dispositivo. A su vez, descarga en el ordenador un Bitcoin Miner y lo ejecuta de forma paralela y, después, se conecta al servidor de control y comando (C&C) y lo actualiza con la información más reciente obtenida del equipo infectado.
Uno de los hechos más destacados de esta amenaza reside en que utiliza herramientas de Windows como WMI o Netsh Windows para abrir los puertos necesarios para conectarse a la red y comenzar así el proceso de minería, creando tareas programadas para imitar una aplicación de servidor web y ejecutarse al inicio. El malware utiliza herramientas de código abierto y basadas en scripts para realizar movimientos laterales en la empresa infectada.
De forma más pormenorizada, Check Point describe la secuencia del ataque. Primero, el punto de acceso se obtiene, generalmente, a través de email, archivos o vulnerabilidades en aplicaciones, permitiendo así que el malware tenga acceso a la red de una empresa. En este primer momento, sin embargo, las compañías no pueden detectar la amenaza.
Después, detecta vulnerabilidades y accesos adicionales a la red y se comunica con los servidores C&C. Como consecuencia, el código malicioso entra en la red infectada.
El tercer paso es la Expansión por la red atacando nuevos puntos para, en caso de que alguno de los errores provocados con anterioridad haya sido subsanado, poder continuar con el ataque a través de los nuevos puntos generados
Seguidamente, extrae datos de la red infectada para luego recopilarlos en un servidor de almacenamiento externo. De esta forma, el atacante se encuentra en una situación de control total sobre la información obtenida.
Finalmente, las cargas ofuscadas, ya sea bitcoin miner, troyano o ransomware, acceden a los servidores de la organización.
Tras insistir en que es una campaña potencialmente dañina, Eusebio Nieva, director técnico de Check Point para España y Portugal, ha destacado que “descargar parches de seguridad y actualizaciones sólo sirve para configurar un primer nivel de seguridad. Por ello, para evitar ser víctima de este tipo de ataques, nuestra recomendación se centra en ir un paso más allá e implementar soluciones avanzadas de prevención de amenazas”.
