KingMiner, un criptominero que infecta servidores Microsoft IIS y SQL

  • Endpoint

El malware de minado obliga a los servidores de Windows a usar sus ciclos de CPU para extraer monedas de Monero. Desde que se detectó a mediados de junio, el malware ha recibido dos actualizaciones y la cantidad de ataques sigue aumentando en múltiples países.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Los investigadores de CheckPoint han analizado una nueva amenaza a la que han bautizado con el nombre de KingMiner. Se trata de un malware de minería que se dirige a los servidores Microsoft IIS y SQL en particular y ejecuta un ataque de fuerza bruta para obtener acceso. Una vez dentro, el malware determina la arquitectura de la CPU y busca versiones anteriores de sí mismo para eliminarlas.

KingMiner se basa en el minero XMRig disponible gratuitamente para crear monedas de Monero, con un archivo de configuración que contiene un grupo de minería privado con la API desactivada para evitar miradas indiscretas. La dirección de la cartera presente en el archivo no se ha utilizado en las operaciones de minería pública, lo que impide que los investigadores verifiquen su saldo. Según los investigadores, el minero está configurado para utilizar el 75% de los recursos de la CPU, pero en la práctica, utiliza el 100% del procesador, probablemente debido a errores en el código.

KingMiner implementa varias defensas contra los entornos de emulación y detección, registrando tasas bajas con algunos motores antivirus mediante el uso de una carga útil XML disfrazada de un archivo ZIP. "El uso de técnicas de evasión es un componente importante de un ataque exitoso", señalan investigadores de CheckPoint, agregando que el malware utiliza técnicas simples para evitar los métodos de emulación y detección. Las dos últimas versiones del malware han sido identificadas como maliciosas por siete motores antivirus o menos.

Los datos de telemetría de CheckPoint indican que las infecciones por KingMiner se propagaron de México a India y de Noruega a Israel.

KingMiner cuenta con métodos simples para mantenerse oculto de los productos de seguridad con éxito. CheckPoint predice que los ataques de criptominería continuarán evolucionando en 2019 y serán mejores para evadir la detección.