Malware crea Crytominer Botnet a través de EternalBlue y Mimikatz
Una nueva campaña de malware se ha registrado en el continente asiático, específicamente atacando redes de sistemas chinos, japoneses, indios y otros.
El malware aprovecha el exploit EternalBlue y otros scripts basados en PowerShell de Living off the Land para eliminar troyanos y añadir un coinminer Monero en máquinas donde se presente.
Este movimiento fue detectado gracias al equipo de investigación Qihoo 360 (compañía de seguridad virtual), además anunció que fueron los mismos quienes en el enero de 2019 hicieron ataques con el mismo método.
Aunque no solo el equipo de Qihoo 360 fueron los únicos en detectarlo, sino que también Trend Micro habría descubierto que se ha agregado el exploit EternalBlue.
¿Cómo actúa el malware para propagarse y dar con su objetivo?
Principalmente solo está funcionando en países asiáticos, ya que no se han detectado ninguna anomalía en otros continentes.
Esta campaña apunta al uso del protocolo SMBv1 que hace unos años atrás filtró Shadow Brokers y el cual se ha convertido en la herramienta preferida por desarrolladores de códigos maliciosos.
De esta forma logra propagarse, pues digamos que dicho exploit causa una inundación de malware, la cual hace propagarse muy rápido entre máquinas virtuales.
Se apoya en el uso de una lista de credenciales “débiles” para violar cualquier red de máquinas conectadas, el hash lo realiza a través de Invoke-WMIMethod.
Luego de acceder a la red comenzará a descargar un script de PowerShell desde un servidor remoto y ejecutará una lista de comandos para recopilar información acerca el computador y el software de seguridad que poseas.
Proseguirá con eliminar troyanos, una variante es: TrojanSpy.WIN32.BEAHNY.THCACAI y volverá a repasar por la información de la máquina.
También añadirá un script, variante de Mimikatz para activar la autopropagación del malware.
Toda configuración de las firewall comenzará a modificarlas para ampliar más su rango de expansión con otras computadoras de la red.
Aunque también añade otros procesos para verificar si se está dentro de un servidor, poder recopilar aún más información y atacar directamente a todo lo que esté dentro del mismo.
Luego en la última instancia toma tu computador como si fuese una máquina para minar criptomonedas, pues consigue descargar XMRig Monero que se ejecutará cada vez que inicies tu computador.
¿Cómo protegerse del malware?
Lo primero es no entrar en alerta si estás fuera del continente asiático, ya que fuera del mismo no se ha detectado actividad como antes ya se ha recalcado.
De otra forma tan solo tendrías que tener instalada las últimas versiones de los antivirus & antimalware preferidos y revisar en sus actualizaciones si pueden combatir contradicho malware.
Recuerda siempre hacer un análisis exhaustivo de tu computador al menos una vez al mes para que estés completamente seguro de que está limpio.