Nueva campaña de cryptojacking de Monero
Su potencial para utilizar herramientas y vulnerabilidades de Windows convierte a esta campaña en importante amenaza para las empresas.
Investigadores de Check Point Software Technologies han descubierto una nueva variante del malware de cryptojacking de Monero. A través de este tipo de programas, los cibercriminales utilizan el ordenador de la víctima para extraer la moneda criptográfica sin su conocimiento. Según informa el equipo de investigación de la compañía, esta nueva variante lleva activa varios meses y guarda muchas similitudes con las técnicas de infección y propagación de ataques anteriores de ransomware. Asimismo, señalan que esta nueva variante utiliza herramientas y vulnerabilidades del sistema Windows con el objetivo de infectar redes de ordenadores interconectados.
¿Cómo funciona esta nueva variante?
Una vez el troyano ha sido ejecutado en la carpeta ‘User Temporary’, el primer objetivo de este ataque se centra en detener las versiones de sí mismo que se hayan ejecutado con anterioridad en ese mismo dispositivo. A su vez, el troyano descarga en el ordenador un Bitcoin Miner y lo ejecuta de forma paralela. Tras esto, se conecta al servidor de control y comando (C&C) y lo actualiza con la información más reciente obtenida del equipo infectado.
Uno de los hechos más destacados de esta amenaza reside en que utiliza herramientas de Windows como WMI o Netsh Windows para abrir los puertos necesarios para conectarse a la red y comenzar así el proceso de minería, creando tareas programadas para imitar una aplicación de servidor web y ejecutarse al inicio. El malware utiliza herramientas de código abierto y basadas en scripts para realizar movimientos laterales en la empresa infectada. El aumento de la tasa de infección en organizaciones poco seguras da a entender que estamos ante una amenaza de gran potencial contra las empresas.
Estos son los cinco pasos que sigue la cadena de ataque:
1. El punto de acceso se obtiene, generalmente, a través de email, archivos o vulnerabilidades en aplicaciones, permitiendo así que el malware tenga acceso a la red de una empresa. En este primer momento, sin embargo, las compañías no pueden detectar la amenaza.
2. Detecta vulnerabilidades y accesos adicionales a la red y se comunica con los servidores C&C. Como consecuencia, el código malicioso entra en la red infectada.
3. Expansión por la red atacando nuevos puntos para, en caso de que alguno de los errores provocados con anterioridad haya sido subsanado, poder continuar con el ataque a través de los nuevos puntos generados
4. Extrae datos de la red infectada para luego recopilarlos en un servidor de almacenamiento externo. De esta forma, el atacante se encuentra en una situación de control total sobre la información obtenida.
5. Finalmente, las cargas ofuscadas, ya sea bitcoin miner, troyano o ransomware, acceden a los servidores de la organización.
“Se trata de una campaña potencialmente dañina para cualquier compañía, ya que el cibercriminal que se encuentra detrás del ataque tiene mucha experiencia en el uso de este tipo de ciberamenazas“, señala Eusebio Nieva, director técnico de Check Point para España y Portugal. “Asimismo, destacamos que descargar parches de seguridad y actualizaciones sólo sirve para configurar un primer nivel de seguridad. Por ello, para evitar ser víctima de este tipo de ataques, nuestra recomendación se centra en ir un paso más allá e implementar soluciones avanzadas de prevención de amenazas”.
