Inicio / Para Expertos / Cryptominer renovado golpea a Asia a través de la explosión de EternalBlue

Cryptominer renovado golpea a Asia a través de la explosión de EternalBlue

La última versión de NRSMiner se ha visto en ataques recientes en Asia que están comprometiendo sistemas que no han sido parcheados contra el conocido exploit de EternalBlue.

Según los investigadores de seguridad cibernética de F-Secure, las máquinas no parcheadas en Asia, centradas en Vietnam, están siendo infectadas con la última versión de NRSMiner, un malware diseñado para robar recursos informáticos para explotar la criptomoneda.

A partir de mediados de noviembre del año pasado, la última ola de ataques también se está propagando activamente en países como China, Japón y Ecuador.  

La nueva versión del malware se basa en el exploit de EternalBlue para propagarse a través de redes locales.

EternalBlue es un exploit SMBv1 (Server Message Block 1.0) que puede desencadenar ataques de ejecución remota de código (RCE) a través de los servicios vulnerables de intercambio de archivos del Windows Server Message Block (SMB). La falla de seguridad responsable del ataque, CVE-2017-0144 , fue reparada por Microsoft en marzo de 2017 y, sin embargo, muchos sistemas aún no se han actualizado y siguen siendo vulnerables a los ataques.

Hace más de un año, EternalBlue llegó a los titulares cuando el mundo se vio afectado por la propagación de  WannaCry , una forma de ransomware que afectó a organizaciones de todo el mundo, incluido el Servicio Nacional de Salud (NHS) del Reino Unido, FedEx, Renault y bancos mundiales. WannaCry, vinculado a hackers norcoreanos y al grupo Lazarus, usó EternalBlue como un vector de infección para propagarse.

Tras el compromiso de cientos de miles de PC durante el brote de WannaCry, los atacantes aprovecharon la misma falla para propagar otra forma de ransomware conocida como Petya.

Se cree que EternalBlue fue originalmente el trabajo del Grupo de Ecuación de la Agencia de Seguridad Nacional de los Estados Unidos (NSA, por sus siglas en inglés), luego de que el lanzamiento de la herramienta fuera posible gracias a su publicación pública como parte de un caché publicado en línea por el grupo de piratería Shadow Brokers .

NRSMiner utiliza el minero XMRig Monero para secuestrar la CPU de un sistema infectado para extraer la criptomoneda Monero (XMR). NRSMiner también puede descargar módulos de actualización, actualizar versiones anteriores del malware presente en una máquina y eliminar archivos y servicios instalados por instalaciones anteriores.

La última variante de NRSMiner infecta nuevas máquinas ya sea a través de versiones antiguas del mismo malware forzando la descarga de un módulo de actualización en la carpeta / temp del sistema o confiando en EternalBlue.

El exploit se propaga a través de Wininit.exe, que al ejecutarse descomprime los archivos, incluido uno llamado svchost.exe, también conocido como EternalBlue 2.2.0. Wininit.exe luego escaneará el puerto TCP 445 en busca de cualquier otro sistema disponible, y potencialmente vulnerable, antes de ejecutar el exploit.

Si tiene éxito, la puerta trasera DoublePulsar se ejecuta a través de un archivo llamado spoolsv.exe. DoublePulsar, una carga útil del kernel, enlaza los sistemas x86 y 64 bits y hace uso de los puertos para abrir las máquinas infectadas a otras cargas útiles de malware, así como para forjar una ruta hacia un servidor de comando y control (C&C) con fines informativos Robo y ejecución de comandos por parte de operadores de C&C.

Esta puerta trasera se usa en este escenario tanto para mantener la persistencia en una máquina infectada como para implementar el servicio Snmpstorsrv, que es capaz de buscar continuamente sistemas nuevos y vulnerables.

Este no es el único caso de EternalBlue que se utiliza para el cryptojacking. Otras campañas incluyen Wannamine , un esfuerzo de codificación de cortar y pegar que aún puede comprometer máquinas en todo el mundo, y RedisWannaMine , que se dirige a los servidores de Windows.

Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: ZDNET

Vea También

Opera Blacklists Tampermonkey Extension está siendo instalada por Malware

Opera incluyó en la lista negra la versión de Tampermonkey que se ofrece actualmente en …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.