Monero mineros son uno de los más populares programas maliciosos relacionados criptomoneda-que se está distribuyendo en las campañas de ataque en los últimos meses. Las estrategias de hackers parecen incluirlos en una gran cantidad de diferentes tipos de intentos de infiltración. Sin embargo, las últimas campañas de ataque parecen centrarse en un nuevo tipo de táctica mediante el uso de dobles mineros Monero conjunto contra las redes de ordenadores en todo el mundo.
Las campañas de ataque con los mineros doble Monero manchado
investigadores y analistas de seguridad informática están constantemente recibiendo informes para campañas de ataque en curso que cuentan con los mineros criptomoneda como cargas útiles primarias o secundarias. Se han convertido en muy popular, ya que sólo necesita ser cargado en la memoria un pequeño script con el fin de iniciar los cálculos complejos. Los mineros se ejecutan software especial que utilizan los recursos de hardware disponibles, a fin de generar criptomoneda que se remitirá a los operadores criminales. La mayoría de la mina amenazas para los cryptocurrencies más populares: Bitcoin, Moneo y Etereum.
En el momento en que un nuevo tipo de campañas de ataque está siendo ajustado contra las redes de ordenadores en todo el mundo. Los criminales se dirigen principalmente los servidores de base de datos utilizando una vulnerabilidad descubierta. La cuestión es identificada CVE-2017-10271 que se describe en la advisotry como la siguiente:
Una vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: Seguridad WLS). Las versiones compatibles que son afectados son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 y 12.2.1.2.0. Fácilmente explotable vulnerabilidad permite que un intruso no autenticado con acceso a la red a través de T3 a comprometer Oracle WebLogic Server. ataques con éxito de esta vulnerabilidad puede resultar en la adquisición de Oracle WebLogic Server. CVSS 3.0 Puntuación Base 7.5 (impactos sobre la disponibilidad). vector CVSS: (CVSS:3.0/DE:N / AC:L / PR:N / UI:N / S:T / C:N / I:N/A:H).
Los piratas informáticos utilizan código de explotación que a menudo se utiliza con conjuntos de herramientas y plataformas de piratas informáticos automatizados. Uso de los comandos automatizados los criminales pueden dirigirse a miles de redes de una manera de segundo. Como resultado de la vulnerabilidad explota los criminales pueden tener acceso a la red a los servidores, así como la capacidad de tomar el control de los sistemas. El hecho interesante es que mientras que los ataques tradicionales suelen centrarse en los adelantamientos control de los servidores afectados éste los infecta con los mineros dobles Monero.
El doble Monero mineros de carga útil y su significado
La táctica de usar dobles mineros Monero es novedoso ya que se utiliza de una manera no tradicional. Después de que las máquinas se han visto afectados por el código de explotación minera de dos programas separados se instituyó en los dispositivos víctima. La primera es una versión de 64 bits que es la opción por defecto y la variante de copia de seguridad es un ejecutable compilado de 32 bits. Si el primer archivo no se puede iniciar a continuación, los atacantes indican al software malicioso para iniciar la opción de backup. Mediante el análisis de las campañas de los expertos en seguridad descubrieron que las diferentes versiones del código de explotación son divulgados - hay pruebas finales y versiones separadas. Esto significa que el hacker individual o colectiva criminal detrás de los ataques están involucrados activamente en su desarrollo en curso.
Monero patrón de los mineros de ejecución
Las infecciones comienzan después de la comprobación de vulnerabilidad ha pasado. El script malicioso descarga tres archivos relacionados con las operaciones mineras a las máquinas comprometidas:
- Javaupd.exe - Una instancia minero que está disfrazado como una actualización para el entorno de ejecución de Java (JRE) que a menudo se instala de los usuarios de computadoras con el fin de ejecutar aplicaciones basadas en Java. Haciéndose pasar por la popular aplicación el virus hace que el descubrimiento más difícil, ya que en algunos casos el servicio puede utilizar más recursos de hardware durante su ejecución.
- startup.cmd - Este es el módulo de inicio automático que se encarga de la persistente estado de ejecución. Se utiliza para iniciar automáticamente el código de malware y evitar que otras aplicaciones interferir con los mineros.
- 3.exe - Una instancia malicioso secundaria.
El componente de auto-arranque asociada con los mineros Monero se coloca en el sistema en la carpeta Inicio. Después de que se ejecuta y se inicia un comando de PowerShell que crea dos tareas programadas:
- La primera tarea descarga las últimas versiones de los casos minero Monero de un sitio pirata informático controlado. La cadena muestra que la tarea es nombrado como “Actualización de Java de Oracle” y se establece para ejecutar cada 80 minutos con el fin de desmentir la posibilidad de problemas de red.
- La segunda tarea es nombrado “Oracle Java” y se establece para ejecutar diaria y comprobar si la primera tarea ha completado con éxito.
Después de que las tareas se han completado la secuencia de comandos de control lanza el script adecuado mediante la ejecución de la carga útil secundaria (3.exe). Se comprueba si el sistema es capaz de ejecutar la versión de 64 bits o de 32 bits del código y luego descarga y ejecuta el archivo correspondiente. Un nuevo archivo se descarga que se llama logonui.exe que está registrada como un servicio de Windows y llama “microsoft telemetría”. La versión apropiada (32 o 64-bit) se carga durante esta fase de la iniciación de software malicioso.
Consecuencias de los mineros doble Monero
Los expertos en seguridad en cuenta que los mineros Monero instalados pueden tener un impacto muy fuerte en el rendimiento de la computadora de la víctima. Como se instalan dos casos separados a los anfitriones las víctimas pueden no ser capaces de eliminar todos ellos de una manera eficiente. Recordamos a nuestros lectores que el estado persistente de instalación también puede estar relacionado con los cambios en el registro de Windows y las opciones de configuración del sistema operativo. Tales alteraciones pueden hacer que sea muy difícil o incluso imposible de eliminar las infecciones utilizando métodos manuales. Los analistas de seguridad, tenga en cuenta que los mineros Monero cuenta con una recopilación de información módulo que tiene la capacidad de escanear los huéspedes infectados para otros programas maliciosos, así.
Como las campañas de ataque siguen su curso y la identidad criminales aún se desconoce. Sospechamos que las versiones actualizadas pueden traer funcionalidad adicional, causar cambios incluso más peligrosa del sistema y también se puede utilizar como mecanismos de entrega de carga útil.
Recordamos a nuestros lectores que puedan protegerse del peligro mediante la utilización de una solución de calidad anti-spyware.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: