Malware KingMiner ataca a servidores Windows

El malware KingMiner se dirige al servidor de Windows y utiliza recursos completos de la CPU para explotar Monero.

El malware se dirige principalmente a los servidores de Microsoft que utilizan IIS \ SQL.

El malware se identificó por primera vez en junio de 2018, los investigadores de seguridad de Checkpoint detectaron la nueva versión de KingMiner, lo que supera a varios motores de detección.

El malware KingMiner obtiene acceso a las máquinas mediante el uso del método de fuerza bruta para descargar el archivo Scriptlet de Windows (.sct) en la máquina de la víctima.

Luego detectará la arquitectura de la CPU de la máquina infectada y descargará el archivo de carga útil XML basado en la arquitectura de la CPU. El archivo zip descargado incluye cinco archivos.

  • config.json: Archivo de configuración del minero de CPU XMRig.
  • md5.txt: Archivo de texto que contiene solo la cadena “zzz”.
  • powered.exe (llamado fix.exe en versiones anteriores): el archivo ejecutable principal.
  • soundbox.dll / soundbox.dll: archivos DLL que contienen funciones para ser exportados por powered.exe.
  • x.txt / y.png: Archivos binarios de blob. Nota: este no es un archivo PNG real.

Los investigadores dijeron que se ejecuta el powered.exe, luego crea el minero XMRig y agrega la clave en el registro y ejecuta las funciones desde los archivos DLL.

La función King1 decodifica el archivo de blob binario x.txt & y.png, que es la versión modificada del minero de CPU XMRig.

El XMRig CPU Miner está diseñado para consumir solo el 75% de los recursos de la CPU, pero consume el 100%. El malware está evolucionando constantemente y tiene marcadores de posición para futuras operaciones o próximas actualizaciones que harán que este malware sea aún más difícil de detectar.

Semrush sigue a tu competencia


Fecha actualización el 2018-11-30. Fecha publicación el 2018-11-30. Categoria: malware Autor: Oscar olg Mapa del sitio Fuente: gbhackers
malware