Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Detectada una nueva campaña de criptominería de Monero

  • Endpoint

criptomoneda monero

La nueva variante del malware minero de Monero se está propagando en organizaciones de todo el mundo. El malware emplea herramientas de administración de TI legítimas, herramientas de Windows y vulnerabilidades de Windows conocidas para llevar a cabo el ataque.

RECOMENDADOS:

Tecnologías que dan al dato el protagonismo que merece (WEBINAR) 

Cinco retos de la innovación en cloud

Informe IT Trends 2019: La realidad digital de la empresa española

Mejores prácticas para implementar una plataforma ágil

Robo de credenciales: prioriza la seguridad de tus apps

Instalación de Redes WiFi y LAN en Hoteles

Desde mediados de enero, investigadores de Check Point han detectado una nueva variante del malware minero de Monero que comenzó a propagarse. El malware muestra similitudes con las técnicas de infección y propagación de ataques de ransomware anteriores. Además, lo más destacado de esta variante es el uso de herramientas legítimas de administración de TI, herramientas del sistema de Windows y vulnerabilidades de Windows divulgadas anteriormente para infectar una red completa de PC. El malware utilizado en el ataque consiste en dos variantes de troyanos identificados como "Trojan.Win32.Fsysna" y una variante de un criptominero de Monero.

No está claro cómo se produce la infección inicial de un PC desprotegido en una red, pero dado que el malware utiliza Mimikatz, está claro que se propaga a través de sistemas de red sin parchear de manera fácil y rápida. Después de ser descargado y ejecutado en la carpeta "Usuario temporal", su primera acción es colocar una copia de sí mismo en la carpeta "Windows Temp" para garantizar su persistencia.

La primera instrucción del troyano es detener otras instancias antiguas de sí mismo que se hayan ejecutado previamente en la máquina. Utiliza la aplicación predeterminada Taskkill de Windows para lograr este propósito. Además, utiliza la aplicación WMI para detener otros procesos que se ejecutan desde la carpeta Temp de Windows y tienen nombres como su carga útil. Lo siguiente es usar la utilidad Netsh Windows para abrir los puertos adecuados que necesita para la conexión a la red de minería. Finalmente, para establecer la persistencia, limpia versiones anteriores de sí mismo y continúa creando nuevas tareas para iniciar un nuevo proceso de manera continua.

Luego, una carga útil secundaria se coloca en la carpeta Temp, que es esencialmente una versión ligeramente modificada del troyano, pero está configurada para ejecutarse desde diferentes rutas en el sistema. Al igual que el Updater.exe, la nueva carga útil detiene todas las versiones anteriores del troyano que se estaba ejecutando desde la ubicación temporal y se mueve como "wmiex.exe" a la carpeta del sistema. A partir de entonces, utilizando Windows como una herramienta legítima, crea una tarea programada para imitar una aplicación de servidor web y ejecutarse en el inicio.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos