Rarog: una familia de malware de criptominería cada vez más popular

  • Endpoint

Unit 42 señala que, desde junio de 2017, se han confirmado más de 166.000 infecciones relacionadas con Rarog en todo el mundo, principalmente en Filipinas, Rusia e Indonesia. El malware es asequible, vendiéndose por alrededor de 104 dólares en el mercado negro.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Una familia de malware llamada Rarog se está convirtiendo en una herramienta popular para que los hackers lancen ataques de minería de criptomonedas, señalan los investigadores del equipo Unit 42 de Palo Alto. El troyano es económico, fácil de configurar y admite múltiples criptomonedas, lo que lo convierte en una opción atractiva para los hackers.

Según los investigadores, el malware viene equipado con una serie de características que le dan a los atacantes la capacidad de descargar software de minería y configurarlo con los parámetros que deseen. El troyano se utilizó principalmente para extraer la criptomoneda Monero, pero también tiene la capacidad de extraer otras criptomonedas. "La familia de malware de Rarog representa una tendencia continua hacia el uso de mineros de criptomonedas y su demanda en el mercado clandestino criminal. Si bien no es increíblemente sofisticado, Rarog proporciona una entrada fácil para muchos delincuentes que deseen extraer criptomonedas. El malware ha permanecido relativamente desconocido durante los últimos nueve meses salvo algunas excepciones".

Rarog apareció recientemente en el radar cuando la empresa de seguridad Flashpoint alerto que los criminales estaban atacando a la plataforma Magento con una variedad de familias de malware, incluido Rarog, dejando cientos de sitios de e-commerce comprometidos. "Los analistas dijeron que la cadena de infección comienza con la instalación del malware robo de datos llamado AZORult desde un binario alojado en GitHub. AZORult luego descarga malware adicional; en esta campaña, el malware adicional es el minero de criptomonedas Rarog", según el informe de Flashpoint.

Unit 42 señala que, desde junio de 2017, se han confirmado más de 166.000 infecciones relacionadas con Rarog en todo el mundo, principalmente en Filipinas, Rusia e Indonesia. El troyano permite a los atacantes realizar una serie de acciones, como descargar y ejecutar otro malware y lanzar ataques DDoS contra otros. A lo largo de la ejecución del malware, se realizan varias solicitudes HTTP a un servidor C2 remoto. El malware también proporciona estadísticas de minería a los usuarios, configura varias cargas de procesador para el minero en ejecución y permite a los atacantes infectar dispositivos USB, así como cargar archivos DLL adicionales en el sistema de la víctima.

La persistencia es otra característica clave de Rarog. El malware utiliza múltiples mecanismos para mantenerse en los sistemas de la víctima, incluido el uso de la clave de registro Run, las tareas programadas y los enlaces de acceso directo en la carpeta de inicio, según Unit 42. Además, el malware es asequible, pues se vende por alrededor de 104 dólares en el mercado negro. "Además, se ofrece a los posibles compradores la posibilidad de hacer una prueba”, concluyen los investigadores.