EternalBlue: ahora es la puerta para minar Monero

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Recientemente han descubierto un nuevo y peligroso malware que no solo minimiza el minado de la criptomoneda Monero, sino que también desactiva las funciones de seguridad en el sistema Windows, todo esto mientras usa los exploits de la Agencia Nacional de Seguridad (NSA).

EternalBlue y EternalRomance Exploits?

Para aquellos que no están al tanto de estos exploits, en 2016-17, un grupo de hackers conocidos como Shadow Brokers filtraron varios exploits de cero días y herramientas de piratería asociadas con Equation Group.

En este caso, el malware utiliza el exploit EternalBlue como sus predecesores Adylkuzz, el malware sin archivos WannaMine, Zealot y Smominru.

PyRoMine Malware

En cuanto a los últimos hallazgos, el malware se ha denominado “PyRoMine” y se considera peligroso ya que está equipado con la capacidad de desactivar las funciones de seguridad en el sistema para eludir cualquier obstáculo y propagarse sin que la víctima lo sepa.

Lo peor de PyRoMine es que también habilita el Protocolo de escritorio remoto (RDP) en el sistema que abre el dispositivo objetivo para futuros ataques.

Cómo se propaga PyRoMine

Los investigadores descubrieron el malware siguiendo una URL maliciosa con un archivo .ZIP ejecutable que contiene PyInstaller, un programa que congela (empaqueta) los programas de Python en ejecutables independientes. Esto significa que los atacantes no tienen que instalar Python para ejecutar el programa.

Para facilitar las cosas a PyRoMine, el exploit EternalBlue de la NSA le permite obtener privilegios del sistema que permiten a los atacantes obtener el control total del sistema y minar la criptomoneda Monero utilizando la potencia informática del dispositivo sin levantar sospechas hasta que el usuario note un aumento en la CPU uso en su dispositivo.

Debe tenerse en cuenta que la extracción de Monero comienza cuando el malware PyRoMine descarga un VBScript malicioso.

 

 

Por Josep Verdura – Analista de Seguridad de Vintegris