Un malware minero que utiliza una serie de técnicas que incluyen EternalBlue, el abuso de PowerShell, la técnica de pasar el hash, las herramientas de administración de Windows y la fuerza bruta para infectar Windows Machine y dejar caer un minero Monero.
Según la telemetría de Trend Micro, los actores de amenazas detrás de la campaña expanden la red de bots a otros países que incluyen Australia, Taiwán, Vietnam, Hong Kong e India.
La propagación de malware principal implica el uso de credenciales débiles para obtener acceso a la computadora que se conectó con la misma red. Utiliza una configuración de firewall y reenvío de puertos para programar una tarea y ejecutar el malware.
A continuación, uno usa el método hash, en el que el malware adquiere las contraseñas que se encuentran en el sistema mediante el comando Get-PassHashes. Una vez que adquiere los hashes, utiliza malware, utiliza Invoke-SMBClient para compartir el archivo.
“Una vez que una máquina se infecta a través de uno de los métodos, el malware adquiere la dirección MAC y recopila información sobre los productos antivirus instalados en la máquina. Descarga otro script de PowerShell confuso del servidor de C&C ”, lee el informe de TrendMicro.
El tercer componente es el software espía que captura la siguiente información de la máquina infectada.
- Nombre de la computadora
- GUID de la máquina
- Dirección MAC
- Versión del SO
- Información de memoria de gráficos
- Hora del sistema
El cuarto componente es el ejecutable binario compilado por Python que propaga el malware aún más, su uso para buscar contraseñas de SQL débiles y utilizar exploits de EternalBlue.
El quinto es la carga útil minera de la moneda Monero, que se implementa a través del proceso de PowerShell, una vez que se instala, informa del estado al servidor de C&C.
El malware "aprovecha las contraseñas débiles en los sistemas informáticos y las bases de datos, se enfoca en el software heredado que las compañías aún pueden usar, usa scripts basados en PowerShell con componentes descargados y ejecutados en la memoria, explota vulnerabilidades sin parches, e instala utilizando la carpeta de inicio de Windows y el programador de tareas . ”
Fecha actualización el 2021-04-15. Fecha publicación el 2019-04-15. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: gbhackers Version movil