Nueva amenaza detectada: “PowerGhost”, malware que afecta la minería de criptomonedas.

PowerGhost nuevo malware que afecta minería de criptomonedas

La amenaza pública de los mineros de criptomonedas aparentemente aumenta diariamente. En la última instancia, se descubrió que un minero de criptomonedas apodado “PowerGhost” tenía servidores infectados de corporaciones enteras, extrayendo cantidades masivas de energía para cumplir fines ilícitos.

Como se indicó en SecureList el 26 de julio de 2018, Kaspersky Labs, con sede en Moscú, reveló la presencia de un nuevo malware para mineros luego de que sus sistemas de software globales generaran alarmas de seguridad en varios clientes.

Llamado “PowerGhost”, se dice que el minero se ha instalado furtivamente en una PC víctima y se ha desplegado a través de servidores y corporaciones de estaciones de trabajo para obtener sus recursos informáticos para minería de criptomonedas.

Los hackers que implementan software de minería se vuelven cada vez más sofisticados e implementan diversas tácticas para evitar que los marquen. Esto incluye ejecutar software adicional para reducir la velocidad de los ventiladores de la CPU , apagar el software de minería durante las horas “activas” de los usuarios y mostrar artificialmente el uso de energía de computación “baja”, todo lo cual ayuda al software de minería ilegal a pasar desapercibido y a mayores ganancias para los atacantes con el tiempo.

Curiosamente, tal minería ilícita , o “cryptojacking” como popularmente conocido, supuestamente está reemplazando las tácticas tradicionales de cibercrimen, como el ransomware, según los datos recopilados por un informe anterior de Kaspersky.

Modo sigilo

En la instancia de “PowerGhost”, los piratas informáticos implementaron una “técnica sin archivos” mediante la entrega de malware sobre un software “limpio”, fuera del alcance y la sospecha de los administradores del sistema.

LEER  2.3 Millones de wallets estan siendo monitoreadas por un nuevo Malware Clipboard Hijacker

PowerGhost utilizó una secuencia de comandos de PowerShell para entregar el código base, que contiene las bibliotecas de operación ilicit miner, msvcp120.dll y msvcr120.dll y un código protector “shell” para ocultar el exploit.

Se descubrió que el programa usaba varias técnicas sin archivos para permanecer sin ser detectado por los usuarios y el software antivirus. Notablemente, el virus fue infectado por herramientas de administración remota como Windows Management Instrumentation.

Para el proceso de infección, el script en ejecución de PowerShell descargó automáticamente el código de minería y lo lanzó inmediatamente para su uso, independientemente de lo que escriba en el disco duro de la víctima.

 

Ataques DDoS y países afectados(Fuente: SecureList)

Entre las varias instancias de PowerGhost descubiertas, Kaspersky también notó códigos DDoS en algunas versiones, lo que indica que los atacantes tenían como objetivo ganar dinero extra con las redes de computadoras DDoSing.

Aunque se dirigía tanto a individuos como a empresas, el sistema de entrega inherente del ataque facilitaba la propagación dentro de la red de área local de una compañía. El siguiente gráfico muestra la extensión de los ataques de PowerGhost:

Como se observó, el virus se encontró más en Brasil, Colombia, Turquía e India.

Déjanos conocer tu opinión