¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Lista de precios

Ценник

Otras ediciones de este tema (15)
  • añadir a favoritos
    Añadir a marcadores

Los miners nocivos

Consultas: 1538 Comentarios: 1 Ranking: 8

jueves 10 de mayo de 2018

Muchos recuerdan la epidemia de WannaCry, a la que “El mundo de antivirus” ha dedicado varias ediciones. Vamos a recordarle una cosa:

Durante la investigación los expertos conectaron a Internet un equipo vulnerable a EternalBlue y esperaban su infección con WannaCry. Pero se sorprendieron al ver que el equipo se infectó con otro virus miner menos importante— Adylkuzz. Los expertos repitieron varias veces la operación de conexión del equipo no infectado a Internet y el resultado siempre fue el mismo: unos 20 minutos más tarde, el mismo se infectaba con el virus Adylkuzz y se conectaba a su botnet.

WannaCry fue famoso, pero le adelantó un virus miner “tranquilo” Adylkuzz que usaba los modos similares de difusión e infección de equipos en Windows. La difusión de Adylkuzz puede ser aún más importante porque la campaña de la misma tuvo lugar de 24 de abril a 2 de mayo de 2017.

#drweb

https://habrahabr.ru/post/328932

https://null0x4d5a.blogspot.ru/2017/05/behavioral-analysis-of-adylkuzz.html

http://www.securitylab.ru/news/486210.php

Resulta que mientras todo el mundo le tenía miedo a WannaCry, Adylkuzz se difundía con más éxito. Pero los medios de comunicación no lo mencionaron.

En algún momento mencionamos este troyano para confirmar que frecuentemente en los medios de comunicación se presta más atención a los programas menos peligrosos y nocivos.

Al mismo tiempo, Adylkuzz era mucho más interesante que WannaCry. Y permitía ganar dinero con criptomoneda. Es un miner avanzado que no simplemente iniciaba el módulo de mining, sino infectaba los procesos iniciados.

Es interesante que Adylkuzz «se preocupa» del usuario – una vez infectado, cierra el puerto 445, y luego los demás sucesores de WannaCry ya no pueden penetrar en el equipo.

#drweb

Al penetrar en el equipo de la víctima, Adylkuzz lo escanea para buscar sus propias copias, las desactiva, bloquea las comunicaciones SMB, detecta la dirección IP pública del equipo infectado, y luego carga las instrucciones y el criptominer.

En la figura más abajo puede consultarse un screen de un monedero vinculado al ataque. «Hash rate» visualiza la velocidad a la cual el troyano concreto de la botnet obtiene Moneros, «Total paid» visualiza el total de las monedas obtenidas.

#drweb

https://wanadecryptor.ru/adylkuzz-world-attack

Una vez iniciado el exploit correctamente a través del protocolo SMB, los malintencionados usaron el código del núcleo para la implementación en el proceso lsass.exe, siempre presente en los sistemas Windows. Esta infección aseguraba la “supervivencia” del troyano. Así mismo, la mayor parte de las acciones se realizaban con las utilidades propias de Windows u otras herramientas no nocivas.

Además, los creadores de virus creaban un nuevo usuario, cargaban las utilidades necesarias, en caso necesario, las actualizaban si en el equipo se usaban las versiones antiguas, añadían todo lo necesario en el autoinicio… Y, por supuesto, el uso de la utilidad Mimikatz para recabar los datos de la cuenta del usuario y acceder a varias estaciones de la red para convertirlas en los nodos de mining de criptomoneda Monero.

Para más información, consulte aquí y aquí. Dr.Web detectó este programa nocivo como Backdoor.Spy.3365.

Como miner, adylkuzz consumía completamente todos los recursos disponibles, controlaba el administrador de tareas.exe pqrq que el mismo visualizara el uso normal del sistema.

Por lo tanto, un miner no es simplemente algún programa “iniciado”.

Otro miner avanzado se conoce como CoinMiner (en clasificación de Dr.Web - Trojan.BtcMine.1505). También usa la vulnerabilidad EternalBlue de la colección NSA para infectar (la vulnerabilidad se usa para eliminar e iniciar el backdoor en el sistema), pero para iniciar los comandos administrativos en los sistemas infectados se usan los scripts de herramientas de administración Windows (Windows Management Instrumentation, WMI). CoinMiner no se guarda en el disco como archivo (es una amenaza sin archivo) y usa WMI para ocultar su presencia. En particular, para ejecutar los scripts se usaba la aplicación de los scripts WMI Standard Event (scrcons.exe).

WMI es un componente estándar de Windows y sirve para resolver las tareas cotidianas de administración, así mismo, para su automatización, iniciar programas a la hora establecida, recibir la información sobre las aplicaciones instaladas, supervisar los cambios en las carpetas…

Y los scripts WMI son los scripts JScript…

Otra vez vamos a comentar lo de WannaCry, igual que al principio de esta edición – los expertos de la empresa de investigación británica Kryptos Logic confirman (https://www.bleepingcomputer.com/news/security/wannacry-ransomware-sinkhole-data-now-available-to-organizations) que solo en marzo de 2018 se registraron unas 100 millones consultas al dominio que desactiva WannaCry, realizadas desde 2,7 millones de direcciones IP únicas. WannaCry, un conjunto nocivo, pero no el más peligroso, sigue difundiéndose.

#mining #software_ilegal #bitcoin

El mundo de antivirus recomienda

  1. Los miners no solo son troyanos y utilidades. Además, son gusanos que se difunden a través de las vulnerabilidades.
  2. Siempre conviene cumplir con las medidas básicas de seguridad. Los ejemplos de miners, tales como CoinMiner y Adylkuzz confirman que para la protección contra este tipo de amenazas es necesario instalar las actualizaciones del sistema.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios