Nueva campaña de malware instala software de minería Monero

Los expertos de la compañía F5 Networks han localizado una nueva campaña de infecciones con malware cuyo objetivo es reclutar a nuestro equipo para realizar cálculos de criptomonedas. Esta nueva variante destinada a la «minería» se conoce como Zealot dado que se compone de un archivo .zip con ese nombre.

El malware contiene un dropper que instala en el equipo un software destinado a calcular bloques de una de las monedas virtuales más populares del momento: Monero. Y podemos resultar afectados tanto en equipos de escritorio como servidores, incluyendo sistemas operativos Windows y Linux.

Nueva infección instala software de minería Monero

Esta nueva amenaza se apoya en los exploits anteriormente utilizados por la NSA para vulnerar equipos en todo el mundo, incluyendo EternalBlue y EternalSynergy. En el arsenal de herramientas se encuentra además el mismo código utilizado para atacar Equifax.

Los mismos exploits fueron utilizados durante este mismo año para lanzar los ataques NotPetya y WannaCry.

Los expertos de la empresa F5 han observado que los ciberdelincuentes han estado realizando escaneos masivos en busca de servidores que aún no han sido parcheados frente a dos exploits:

• CVE-2017-5638: afecta a Apache Struts
• CVE-2017-9822: DotNetNuke encontrado sobre ASP.Net

Esta nueva campaña representa un sofisticado ataque de varias fases que ataca redes internas con los exploits EternalBlue y EternalSynergy. […] Hemos llamado a la campaña «Zealot» basándonos en el nombre del zip que contiene los scripts en Python con los exploits de la NSA.

Detalles del ataque

El exploit para la vulnerabilidad sobre Apache Struts incluye código dañino para plataformas Windows y Linux al mismo tiempo.

Cuando se produce la infección en una máquina Windows, se utilizan tanto EternalBlue como EternalSynergy para moverse lateralmente a lo largo de la red objetivo. Ya en la última fase del ataque, se emplea un script realizado con PowerShell para realizar la descarga del software Monero.

Descubre como detectar si tu sistema es vulnerable a EternalBlue

En cuanto a las plataformas Linux, los servidores son atacados mediante scripts realizados con Python que parecen ser tomados del entorno post-explotación EmpireProject, instalando el mismo software de minado de criptomoneda.

Los exploits de la NSA podrían servir a otros usos

Los expertos avisan del posible cambio en la fase final del payload, pudiendo utilizar la misma campaña para distribuir ransomware.

Como nota curiosa, durante el análisis se ha comprobado que los atacantes son supuestamente fans del juego Starcraft, pues muchos de los nombres de archivo y términos usados en el código aparecen como referencias al juego: Zealot, Observer, Overlord, Raven…

El nivel de sofisticación de esta campaña lleva a pensar que ha sido desarrollada por hackers con grandes conocimientos y no unos simples aficionados con bots a su cargo, según concluye el análisis de F5.