Lo extraido por ShadowBrokers de la Agencia de
Seguridad Nacional (NSA) el año pasado parece ser el regalo que sigue dando frutos,
al menos a la comunidad de hackers: un nuevo malware que usa la
herramienta EternalRomance ha llegado a la escena, con Monero-mining
como el objetivo declarado Sin embargo, es probable que los ataques de continuación más dañinos sean el final del juego.
El "bad code" es un malware de minería de cifrado en Python, según FortiGuard Labs de Fortinet, que lo descubrió por primera vez este mes. Debido a que el malware utiliza el exploit EternalRomance, los investigadores le han dado el nombre ágil de "PyRoMine".
El malware se puede descargar como un archivo ejecutable compilado con PyInstaller, que es un programa que empaqueta código escrito en Python en ejecutables independientes. Esto significa que, convenientemente, no hay necesidad de instalar Python en la máquina para ejecutar PyroMine basado en Python. Una vez instalado, se trata de robar silenciosamente recursos de la CPU de víctimas inconscientes para apuntar su proverbial broca para descubrir las ganancias de Monero.
Preocupantemente, PyRoMine también configura una cuenta predeterminada oculta en la máquina victimizada con privilegios de administrador del sistema, usando la contraseña "P @ ss00rdf0rme". Es probable, según el investigador de seguridad de FortiGuard Jasper Manuel, que esto se usaría para la reinfección y más ataques.
"Es bastante probable que puedan ocurrir ataques futuros", dijo en una entrevista por correo electrónico. "Aunque este malware no es un botnet porque no se comunica por teléfono con el hogar para informar una infección y no espera los comandos, aún configura una cuenta en el equipo afectado y habilita el protocolo de escritorio remoto. Los atacantes podrían usar el mismo canal para conectarse a la máquina usando la cuenta creada para hacer más ataques ".
Según las ganancias que PyRoMine tiene hasta la fecha (solo alrededor de $ 650), no ha estado a la altura de su nombre y se ha incendiado en el frente de propagación. Pero eso podría cambiar rápidamente: por un lado, la elección de Monero indica que los delincuentes buscan lanzar una amplia red, dado que la moneda ofrece una "característica" importante que la hace más adecuada para el mercado masivo que el más venerable Bitcoin: Se basa en un algoritmo de prueba de trabajo llamado CryptoNight, diseñado para computadoras ordinarias e incluso teléfonos móviles, en lugar de para GPU de gama alta o hardware especializado necesario para la minería eficiente de Bitcoin. Por lo tanto, la superficie de ataque potencial se compone de consumidores y empresas por igual, a nivel mundial.
En segundo lugar, los ciberdelincuentes han descubierto que las empresas y las personas han sido bastante lentas cuando se trata de reparar las vulnerabilidades conocidas que aprovechan las herramientas de la NSA.
ShadowBrokers filtró todo un cofre del tesoro de herramientas de pirateo y exploits de día cero en 2017, atribuido al Grupo de ecuaciones, que se cree que es un brazo de la unidad de Operaciones de acceso a medida de la NSA. Se dirigen a Windows XP / Vista / 8.1 / 7/10 y Windows Server 2003/2008/2012/2016, aprovechando un par de vulnerabilidades, CVE-2017-0144 y CVE-2017-0145. Microsoft parcheó estos rápidamente después de que las herramientas se hicieron públicas.
"El parche para EternalRomance fue lanzado hace un año, pero muchos todavía no piensan de forma proactiva en cuanto a la seguridad", dijo Manuel a Threatpost. "El hecho de que los ciberdelincuentes utilicen estos exploits nos dice que aún se benefician al usar estos exploits en su malware".
Y, por último, EternalRomance es un exploit de ejecución remota de código (RCE) que abusa del protocolo heredado de intercambio de archivos SMBv1. SMBv1 se usa normalmente solo dentro de la red de área local de una empresa, pero con demasiada frecuencia queda expuesto a Internet, uno de los factores que contribuyen a que los ataques de EternalX WannaCry y NotPetya se hayan propagado ampliamente.
"En el pasado, hemos visto que estos exploits fueron utilizados por actores de amenazas patrocinados por el estado", nos dijo Manuel. "A los pocos días del lanzamiento, comenzamos a ver que estos exploits eran utilizados por malware de productos básicos como criptomoneadores y ladrones de información para atacar a las víctimas en general".
PyRoMine no es el primer minero en utilizar las herramientas de la NSA: los investigadores descubrieron a los autores de malware utilizando el exploit EternalBlue en otro malware de minería de cifrado, como Adylkuzz, Smominru y WannaMine, con gran éxito.
Manuel agregó que debido a que la tasa de parches es claramente baja para las vulnerabilidades apalancadas, espera que el malware de productos básicos continúe usando los exploits de la NSA durante algún tiempo. Más preocupante, la estrategia de puerta trasera de PyRoMine podría convertirse en un sello distintivo en el futuro.
"Creo que va a ser algo que veremos mucho más en el futuro, ya que las herramientas que se están desplegando son multifacéticas".
Dijo Chris Roberts, arquitecto jefe de seguridad de Acalvio, en un comentario enviado por correo electrónico. "En este caso, no solo se trata de extraer y deshabilitar los servicios de seguridad. También
se está agregando a varios tipos de cuenta, abriendo RDP (3389) y
básicamente colocando el tapete de bienvenida para futuros ataques. Varios
de los últimos conjuntos de herramientas vienen armados con varias
cargas útiles que simplemente tienen la funcionalidad de implementar
ataques, recolectar datos y aprovechar la laxitud de la seguridad y el
tiempo de procesamiento. Y todo esto viene en un
paquete bonito y ordenado que utiliza el simple problema de que nosotros
(los humanos) no hemos parchado o no prestamos atención a lo que
estamos descargando / haciendo clic. Una vez más, somos el vector de ataque y la computadora sufre ".
por Tara Seals
Fuente: https://threatpost.com/
0 Comentarios