ZombieBoy el cryptominero que explota los CVE para evadir la detección

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

El malware ZombieBoy gana aproximadamente $1000 Monero mensualmente.

Un experto en seguridad independiente descubrió una nueva familia de cryptomineros que se ha bautizado como ZombieBoy.

De acuerdo con el análisis, el gusano cryptominado recién descubierto llegó a 43 KH / s, lo que significa que según la tasa actual de Monero, está ganando $1000 mensualmente.

Pero eso fue antes del cierre de una de sus direcciones en MineXMR, una plataforma minera de Monero.

El malware de cryptominado usa lenguaje chino simplificado, lo que sugiere sus posibles enlaces a China.

Tal vez, el malware se originó en China.

Esta familia particular de cryptomineadores es bastante similar a la del minador de masas, que se identificó a principios de mayo, y que el malware ha sido nombrado como ZombieBoy porque utiliza ZombieBoyTools.

Vale la pena señalar que ZombieBoyTools tiene enlaces con Iron Tiger APT, que es una variante RAT Gh0st y también tiene orígenes chinos.

Con esta herramienta, el malware logra eliminar su primer archivo dll (biblioteca de enlaces dinámicos). Por otra parte, el gusano utiliza diferentes exploits para extenderse ampliamente en el sistema.

Pero, hay una cosa que difiere entre Massminer y ZombieBoy, que es que ZombieBoy no usa MassScan para el análisis de nuevos hosts. En cambio, usa WinEggDrop.

Un aspecto interesante pero preocupante es que el cryptominero se actualiza constantemente.

De hecho, afirma estar adquiriendo nuevas muestras del minero todos los días. Además, el malware puede explotar múltiples CVE para evadir los programas de seguridad. Estos incluyen una vulnerabilidad de RDP CVE-2017-9073 y exploits de bloque de mensajes de servidor CVE-2017-0143 y CVE-2017-0146.

El malware también utiliza exploits DoublePulsar y EternalBlue para la creación de puertas traseras.

Dado que puede crear múltiples puertas traseras, por lo tanto, abre la puerta a otras infecciones de malware, como keyloggers, ransomware y software malicioso similar.

Esta característica aumenta aún más sus posibilidades de comprometer el sistema con éxito, mientras que a los expertos en seguridad les resulta mucho más difícil identificar y eliminar infecciones.

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris