Mostrando entradas con la etiqueta monero. Mostrar todas las entradas
Mostrando entradas con la etiqueta monero. Mostrar todas las entradas

sábado, 7 de abril de 2018

Rarog: malware para realizar ataques de minado de criptomonedas

El equipo de investigadores de Palo Alto Networks realiza un análisis de Rarog, un troyano de minado de criptomonedas que está creciendo en popularidad debido a su facilidad de uso y versatilidad.

Rarog se empezó a vender en foros underground en junio del 2017. Su precio y su sencillez lo han hecho muy atractivo para delincuentes noveles que quieren realizar ataques de minado de criptomonedas.

 Hasta la fecha se ha detectado más de 166.000 infecciones relacionadas con Rarog alrededor de todo el mundo. La mayoría de estas infecciones apuntan a ciudadanos de Filipinas, Rusia e Indonesia.
Mapa de infecciones. Fuente: paloaltonetworks.com

 El malware es muy versátil: permite infectar dispositivos USB, configurar distintos programas de minado para distintas criptodivisas, inyectar DLL en la víctima... Además de contar con un panel web donde visualizar información estadística de los ataques y administarlos. 

 A pesar de esto, no se tiene constancia de ataques muy lucrativos. A lo sumo se ha podido encontrar el equivalente a unos 120 dólares en una de las carteras de un atacante.
Como decíamos, el troyano se puede adquirir en foros 'underground' por unos 6000 rublos, que al cambio equivalen a unos 85€.

Foro donde se anuncia el malware

Una vez infectado el sistema, el malware cuenta con varios métodos que permiten controlarlo de forma remota:
  • /2.0/method/checkConnection - Comprueba el estado de la comunicación con el malware.
  • /2.0/method/config - Devuelve los parámetros de configuración del malware.
  • /2.0/method/delay - Devuelve el tiempo de espera después de ejecutar el software de minado.
  • /2.0/method/error - Devuelve información sobre los mensajes de error mostrados a la víctima.
  • /2.0/method/get - Devuelve información sobre la ruta del software de minado.
  • /2.0/method/info  - Devuelve el nombre del ejecutable.
  • /2.0/method/setOnline - Actualiza las estadísticas en el C&C.
  • /2.0/method/update - Actualiza el malware.
  • /4.0/method/blacklist - Procesos que pararían las operaciones de minado cuando están en ejecución.
  • /4.0/method/check - Query remote C2 server to determine if ID exists.
  • /4.0/method/cores - Devuelve el porcentaje de CPU usado.
  • /4.0/method/installSuccess - Pide instrucciones al C&C.
  • /4.0/method/modules - Para cargar módulos adicionales en la víctima.
  • /4.0/method/threads - Funciones adicionales (Propagación por USB, ejecutables auxiliares, etc.)
Todas estas acciones se pueden llevar a cabo desde el panel de C&C donde además se muestra información estadística sobre los ataques.

Panel C&C. Fuente: paloaltonetworks.com

Los paneles de control descubiertos por el equipo de Palo Alto se encuentran en su mayoría en servidores de Rusia y Alemania.

Aunque Rarog no ha sido muy mediático la tendencia al alza de este tipo de ataques y su facilidad de uso han hecho crecer su popularidad. 

Mensaje en el foro de un usuario de Rarog

Algunos IOCs de las últimas muestras encontradas:

Francisco Salido
fsalido@hispasec.com

Más información:

0 comentarios
Etiquetas: ,

miércoles, 7 de febrero de 2018

ADB.Miner: nueva botnet dedicada al minado de criptomonedas

El pasado 3 de febrero un nuevo gusano dirigido al minado de criptomonedas empezó a propagarse rápidamente a través de dispositivos Android, principalmente en China y Corea del Sur.

El malware en cuestión busca dispositivos con el puerto 5555 abierto, utilizado por la herramienta de depuración 'ADB'. Para realizar estos escaneos utiliza partes del módulo de exploración SYN de MIRAI.
NetworkScan Mon - http://scan.netlab.360.com/#/dashboard

 La gráfica muestra el aumento significativo de los escaneos dirigidos al puerto 5555. Situándose en poco tiempo en el TOP 10 de NetLab. Algo que no ocurría desde la campaña de MIRAI en septiembre de 2016.
NetworkScan Mon - http://scan.netlab.360.com/#/dashboard

 La mayoría de dispositivos infectados son móviles y aparatos de smart TV basados en Android con la interfaz de depuración 'ADB' activada. Estos dispositivos intentan propagar el malware de forma activa. Para ello, el dispositivo inicia un escaneo del puerto 5555 e intenta infectar a otra víctima con la herramienta de depuración 'adb' activa:

  1. Se conecta por 'adb' al dispositivo remoto.
  2. Replica y ejecuta el código malicioso en el nuevo dispositivo.

Proceso de propagación - Fuente: http://blog.netlab.360.com/

Mientras tanto, el dispositivo infectado se dedica a minar la criptomoneda 'Monero (XMR)' utilizando el software 'xmrig':
Configuración de xmrig - Fuente: http://blog.netlab.360.com/

  • Pool: pool.monero.hashvault.pro:5555 o pool.minexmr.com:7777
  • Contraseña del Pool: x
  • Dirección de la cartera: 44XT4KvmobTQfeWa6PCQF5RDosr2MLWm43AsaE3o5iNRXXTfDbYk2VPHTVedTQHZyfXNzMn8YYF2466d3FSDT7gJS8gdHAr


 A día de hoy todavía no se ha efectuado ningún ingreso en la cartera del atacante:


 Como medida preventiva se recomienda desactivar la herramienta de depuración de Android cuando no se esté utilizando.

 IOCs

  • MD5 (bot.dat) bc84e86f8090f935e0f1fc04b04455c6
  • MD5 (botsuinit_1_1.txt) cd37d59f2aac9101715b28f2b28b7417
  • MD5 (config.json) 27c3e74b6ddf175c3827900fe06d63b3
  • MD5 (droidbot) 412874e10fe6d7295ad7eb210da352a1
  • MD5 (droidbot.apk) 914082a04d6db5084a963e9f70fb4276
  • MD5 (nohup) 9a10ba1d64a02ee308cd6479959d2db2
  • MD5 (sss) 6a22c94d6e2a18acf2377c994d0186af
  • MD5 (xmrig32) ac344c3accbbc4ee14db0e18f81c2c0d
  • MD5 (xmrig64) cc7775f1682d12ba4edb161824e5a0e4




Francisco Salido
fsalido@hispasec.com

Más información:

Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading
http://blog.netlab.360.com/early-warning-adb-miner-a-mining-botnet-utilizing-android-adb-is-now-rapidly-spreading-en/

ADB.Miner 安卓蠕虫的更多信息
http://blog.netlab.360.com/adb-miner-more-information/


0 comentarios
Etiquetas: , ,

martes, 6 de febrero de 2018

Botnet 'Smominru' afecta a más de 500.000 equipos usando EternalBlue

El famoso exploit de la NSA que salió a la luz el año pasado sigue causando estragos.

Resultado de imagen de botnet


 A pesar de la reciente caída de las criptomonedas, infectar equipos para minar sigue siendo un negocio en alza entre los ciberdelincuentes debido a su simpleza y utilidad.

 Monero (XMR) sigue siendo la moneda favorita para minar ilegalmente gracias a que te proporciona mayor anonimato a la hora de realizar transacciones. 

La vulnerabilidad utilizada que se dio a conocer con WannaCry y que paralizó a medio mundo sigue siendo uno de los principales vectores de ataque para este tipo de malware. Con parche de seguridad disponible desde Marzo de 2017, EternalBlue (CVE-2017-0144 SMB) sigue siendo una de las vulnerabilidades más explotadas.

Smominru (también conocido como Ismo) se ha expandido por muchas zonas, pero la mayoría de los equipos infectados se encuentran en Rusia, India y Taiwán. La razón de que haya más infecciones en estos países es que aún no han tomado conciencia de la necesidad de actualizar sus sistemas a fin de mejorar su seguridad y el número de instalaciones de parches de seguridad en Windows es muy bajo.

El malware ha infectado alrededor de 526.000 sistemas Windows desde Mayo de 2017, lo cuál ha hecho que los atacantes minen 8.900 Monero, que corresponden a 1,86 millones de dólares (actualmente, tras la caída de las criptomonedas).

 Los expertos de ProofPoint notificaron al servicio de protección DDoS SharkTech que la infraestructura de comando y control de 'Smominru' se encontraba alojada en sus servidores, sin embargo no obtuvieron respuesta.

Según varios investigadores, esta botnet va a seguir expandiéndose a lo largo del año.



Daniel Púa
@arrowcode_
dpua@hispasec.com

Más información:

Análisis de ProofPoint:


0 comentarios
Etiquetas: , , , , ,
Suscribirse a: Entradas (Atom)
Hispasec Sistemas | Copyright ©1998-2017