MALWARE COINMINER A TRAVES DE ETERNALBLUE

Una nueva familia de malware detectado bajo el nombre de CoinMiner está causando a los usuarios y empresas de seguridad problemas, siendo difícil de detener o detectar debido a la combinación de varias características únicas.

El software malicioso - un minero criptomoneda - utiliza el exploit de la NSA EternalBlue para infectar a las víctimas y el kit de herramientas de WMI (Windows Management Instrumentation) como un método para ejecutar comandos en los sistemas infectados.

Además, CoinMiner también se ejecuta en la memoria (software malicioso sin archivo), y utiliza múltiples capas de servidores de comando y control para desplegar la multitud de secuencias de comandos y los componentes que necesita para infectar a las víctimas.

Todos estos factores hacen una mezcla mortal de características que significar un problema para las máquinas y los sistemas que ejecutan soluciones antivirus no a la par con las últimas técnicas de infección obsoletos.

Como evitar infectarse con CoinMiner desactivando SMBv1

Para evitar infectarse con CoinMiner, hay algunas medidas de precaución que los usuarios necesitan para tomar.

La solución más simple es prevenir la infección primer paso del malware, que es EternalBlue, un SMB exploit desarrollado por la NSA, filtrado en Internet por un grupo de hackers conocido como la shadow brokers, y utilizado en los brotes ransomware WannaCry y NotPetya.

Los usuarios deben asegurarse de que han instalado el parche de seguridad MS17-010 Microsoft, o al menos desactivar el protocolo SMBv1 en sus sistemas, por lo CoinMiner no tendrá ninguna manera de llegar a sus ordenadores.

En situaciones en las que este protocolo es crucial para la interoperabilidad de las redes, las infecciones CoinMiner todavía pueden evitarse si los usuarios a proteger contra la segunda etapa de explotación del software malicioso, que es el uso de WMI - un conjunto de herramientas integradas en todas las versiones de Windows.

CoinMiner utiliza WMI para descargar scripts y otros componentes necesarios para conseguir la persistencia en cada host, y más tarde a descargar y ejecutar el binario real CoinMiner.

Trend Micro, la empresa que descubrió CoinMiner esta semana, recomienda deshabilitar WMI en sistemas donde no es necesario, o al menos restringir el acceso a WMI a una sola cuenta de administrador, accesible para el personal de TI solamente.

CoinMiner no es el primer minero criptomoneda utilizar el exploit EternalBlue para infectar a las víctimas. El minero Adylkuzz fue el primero, el despliegue que poco después de la Brokers Shadow lo filtró en línea. Por otro lado, CoinMiner es uno de los pocos mineros sin archivo criptomoneda alrededor.


Fecha actualización el 2017-8-22. Fecha publicación el . Categoría: Malware. Autor: Mapa del sitioFuente: bleepingcomputer
Malware CoinMiner