Detectan un virus que utiliza el 'exploit' de WannaCry para minar criptomoneda sin crear ficheros

Panda Security
PANDA SECURITY
Actualizado: miércoles, 1 noviembre 2017 11:59

   MADRID, 1 Nov. (Portaltic/EP) -

   La compañía de ciberseguridad Panda Security ha descubierto un 'malware' que utiliza herramientas de 'hacking' y 'scripts' para propagarse por redes corporativas y minar la criptomoneda Monero. Este virus, bautizado como Fileless Monero WannaMine, se basa en ataques de tipo 'fileless', o sin fichero, combinados con el uso del 'exploit' EternalBlue.

   A través de un comunicado, Panda Security ha informado de que la minería de criptomonedas se ha convertido "en un negocio en auge", lo que se ha traducido en la sofisticación de los ciberataques con este fin. La empresa española ha relatado que su equipo de investigadores identificó un comando sospechoso en proceso de ejecutarse del que ha logrado hacerse con dos 'scripts' procedentes de los servidores de comando y control (C&C) justo antes de que sus responsables los cerrasen.

   Según ha explicado Panda Security, ambos 'scripts' son "altamente ofuscados" (encriptados), por lo que su detección como código malicioso es complicada. Uno de estos archivos carga de forma reflectiva --sin tocar el disco-- un módulo .dll del extractor de contraseñas Mimikatz, lo que garantiza el robo de las credenciales almacenadas en el equipo y su uso posterior para moverse lateralmente por redes internas desprotegidas.

   Este 'script' también implementa en la interfaz de consola PowerShell de Windows el 'exploit' de NetBios conocido como EternalBlue, que ha sido también utilizado por otros importantes ciberataques como WannaCry. De esta forma, el 'malware' puede comprometer a otros equipos Windows no parcheados de la red.

   Asimismo, este fichero es capaz de hacer uso del Instrumental de administración de Windows (WMI) para ejecutar comandos de forma remota. Una vez obtenidas las contraseñas de un equipo, un proceso ejecuta una línea de comandos que, entre otras acciones, se encarga de asegurar su permanencia en el sistema. Los investigadores de Panda Security han detectado que este programa estaba programado para descargar a diario un archivo al que no han podido acceder por la indisponibilidad de los servidores C&C de los ciberatacantes.

   Panda Security ha alertado de la "profesionalización" y el uso de nuevas tácticas para crear ataques "cada vez más avanzados". El hecho de que se trate de un ataque 'fileless' hace que la mayoría de soluciones antivirus tradicionales "apenas puedan actuar", por lo que a las víctimas solo les queda esperar a que se generen las firmas necesarias para poder hacer frente al incidente.

Leer más acerca de: