Un desarrollador de software malicioso se sospecha que opera fuera de China tiene el control de una red de bots de 15.000 máquinas de Windows utilizada para extraer diversas monedas-cripto y principalmente Moneo
Sobre la base de las pistas dejadas en su código fuente, los investigadores de seguridad de GuardiCore, quien descubrió este botnet, dicen que el hueco se conoce con el sobrenombre deBond007.01, de ahí el nombre de la red de bots de Bondnet.
Botnet utilizado para la minería de divisas
Los primeros signos de la existencia de esta botnet apareció en diciembre de 2016, pero la red de bots crecieron exponencialmente y ahora ha llegado a 15.000 máquinas, con más de 2.000 robots de activos al día.Investigadores de GuardiCore dicen que Bond007.01 utiliza para extraer Bondnet Monero principalmente, pero también lo han visto con otros cryptocurrencies, como ByteCoin, RieCoin o ZCash.
La forma en que Bond007.01 creció como botnet fue bastante complicado y requiere mucho tiempo, dependiendo de diferentes técnicas. Los expertos dicen que el delincuente empleó una combinación de diversas hazañas y ataques de fuerza bruta en computadoras con credenciales RDP débiles.
Si bien hemos tenido a la vista ladrones que aprovechan los puntos finales RDP sin garantía para otros tipos de delito cibernético, como la instalación de ransomware, Bond007.01 no se asusta de hacer el trabajo duro de la orientación a través de los servidores de exploits.
Los investigadores dicen que el estafador utiliza vulnerabilidades en el software de servidor como phpMyAdmin, JBoss, Oracle Web Application Testing Suite, Elasticsearch, MSSQL, Apache Tomcat, Oracle WebLogic y otros recursos.
Una vez que tiene un punto de apoyo en estos sistemas a través de un exploit, el ladrón utiliza una serie de archivos DLL y secuencias de comandos de Visual Basic para descargar e instalar un troyano de acceso remoto (RAT) para el acceso de puerta trasera, y un minero criptomoneda saca provecho de los servidores hackeados.
Todos los servidores hackeados eran máquinas Windows Server, más de la mitad que ejecuta Windows Server 2008 R2. Máquinas infectadas no sólo se utilizan para la minería cripto-moneda, sino también para lanzar ataques a nuevos huéspedes.
GuardiCore también ha lanzado una utilidad de detección y limpieza para ayudar a los administradores a encontrar los robots Bondnet y sacarlos de sus servidores.
Fecha actualización el 2017-5-4. Fecha publicación el 2017-5-4. Categoría: Malware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer