Detectada una nueva campaña de criptominería de Monero
- Endpoint
La nueva variante del malware minero de Monero se está propagando en organizaciones de todo el mundo. El malware emplea herramientas de administración de TI legítimas, herramientas de Windows y vulnerabilidades de Windows conocidas para llevar a cabo el ataque.
Desde mediados de enero, investigadores de Check Point han detectado una nueva variante del malware minero de Monero que comenzó a propagarse. El malware muestra similitudes con las técnicas de infección y propagación de ataques de ransomware anteriores. Además, lo más destacado de esta variante es el uso de herramientas legítimas de administración de TI, herramientas del sistema de Windows y vulnerabilidades de Windows divulgadas anteriormente para infectar una red completa de PC. El malware utilizado en el ataque consiste en dos variantes de troyanos identificados como "Trojan.Win32.Fsysna" y una variante de un criptominero de Monero.
No está claro cómo se produce la infección inicial de un PC desprotegido en una red, pero dado que el malware utiliza Mimikatz, está claro que se propaga a través de sistemas de red sin parchear de manera fácil y rápida. Después de ser descargado y ejecutado en la carpeta "Usuario temporal", su primera acción es colocar una copia de sí mismo en la carpeta "Windows Temp" para garantizar su persistencia.
La primera instrucción del troyano es detener otras instancias antiguas de sí mismo que se hayan ejecutado previamente en la máquina. Utiliza la aplicación predeterminada Taskkill de Windows para lograr este propósito. Además, utiliza la aplicación WMI para detener otros procesos que se ejecutan desde la carpeta Temp de Windows y tienen nombres como su carga útil. Lo siguiente es usar la utilidad Netsh Windows para abrir los puertos adecuados que necesita para la conexión a la red de minería. Finalmente, para establecer la persistencia, limpia versiones anteriores de sí mismo y continúa creando nuevas tareas para iniciar un nuevo proceso de manera continua.
Luego, una carga útil secundaria se coloca en la carpeta Temp, que es esencialmente una versión ligeramente modificada del troyano, pero está configurada para ejecutarse desde diferentes rutas en el sistema. Al igual que el Updater.exe, la nueva carga útil detiene todas las versiones anteriores del troyano que se estaba ejecutando desde la ubicación temporal y se mueve como "wmiex.exe" a la carpeta del sistema. A partir de entonces, utilizando Windows como una herramienta legítima, crea una tarea programada para imitar una aplicación de servidor web y ejecutarse en el inicio.
