Detectada una nueva botnet dedicada al ‘cryptojacking’ que usa vulnerabilidades de SMB para su propagación.

Esta red de ordenadores infectados permite a los atacantes utilizar cada uno de ellos para el minado de criptomonedas, en este caso, Monero.

La propagación se produce a través de la red una vez que se compromete alguna de las máquinas que forman parte de la misma, y se lleva a cabo haciendo uso del exploit EternalBlue para ‘Windows Server Message Block’ (SMB).

Los investigadores de Cisco Talos han sido los descubridores de la ‘botnet’, a la que han bautizado con el nombre de Prometei. Al parecer, la botnet lleva activa desde el pasado marzo, y hace uso de malware modular.

Para lograr saltar de un ordenador de la red a otro, los atacantes utilizan, junto a exploits para SMB, credenciales robadas y ‘living-off-the-land binaries’ (LoLBins). Estos últimos no son más que binarios para Windows que sin tratarse de malware, ya que suelen ser simples herramientas (como PsExec o WMI), pueden utilizarse con finalidad maliciosa.

Los investigadores han detectado más de 15 componentes diferentes utilizados en los ataques de Prometei, todos ellos comparten un módulo principal que los utiliza conforme son necesarios y envía los datos cifrados con RC4 al servidor de control utilizando el protocolo HTTP.

Entre los distintos módulos utilizados por la botnet, se encuentra que algunos de ellos se han desarrollado en C++ y otros en .NET, lo que sugiere, según los expertos de Cisco Talos, que podría existir un actor diferente a los atacantes iniciales que estaría aprovechando la botnet para sacar su propio beneficio.

Prometei trata de robar las credenciales a través de una versión modificada de Mimikatz (miwalk.exe), que son utilizadas con posterioridad por el módulo ‘rdpclip.exe’ para propagar el malware a otras máquinas de la red.

En el caso de que el robo de credenciales falle, el módulo de propagación se encargará de ejecutar el exploit SMB con el que trata de lograr la propagación a otras máquinas de la red.

El último paso después del robo de credenciales y su propagación es la ejecución del software de criptominado (SearchIndexer.exe), que no es más que la versión 5.5.3 de XMRig, el software de minado de Monero open-source.

Las víctimas de esta botnet se encuentran principalmente en Estados Unidos, Brasil, Pakistan, China, México y Chile. En cuatro meses se han generado unos cinco mil dólares para los atacantes, o lo que es lo mismo, unos 1.250 dólares al mes.

Más información:

Fuente: https://blog.talosintelligence.com/2020/07/prometei-botnet-and-its-quest-for-monero.html