Damián Digital
USB Malware

Las memorias USB malignas infectan 35.000 ordenadores con la botnet de «criptominería»

Los investigadores de seguridad cibernética de ESET dijeron el jueves que derribaron una porción de un botnet de malware que comprendía al menos 35.000 sistemas Windows comprometidos que los atacantes estaban usando secretamente para minar la criptografía de Monero.

La red de bots, llamada «VictoryGate», ha estado activa desde mayo de 2019, con infecciones reportadas principalmente en América Latina, particularmente en Perú que representa el 90% de los dispositivos comprometidos.

«La principal actividad de la red de bots es la extracción de la cripto-moneda Monero», dijo ESET. «Entre las víctimas se encuentran organizaciones de los sectores público y privado, incluidas las instituciones financieras».

ESET dijo que trabajó con el proveedor de DNS dinámico No-IP para derribar los servidores maliciosos de comando y control (C2) y que estableció dominios falsos (alias sinkholes) para monitorear la actividad de la red de bots.

Los datos del sumidero muestran que entre 2.000 y 3.500 ordenadores infectados se conectaron a los servidores C2 diariamente durante febrero y marzo de este año.

Según los investigadores de ESET, VictoryGate se propaga a través de dispositivos extraíbles como las unidades USB, que, cuando se conectan a la máquina víctima, instalan una carga útil maliciosa en el sistema.

botnet malware

Además, el módulo también se comunica con el servidor C2 para recibir una carga útil secundaria que inyecta un código arbitrario en los procesos legítimos de Windows, como la introducción del software de minería XMRig en el proceso ucsvc.exe (o utilidad de servicio de archivos de arranque), facilitando así la minería de Monero.

«A partir de los datos recogidos durante nuestras actividades de hundimiento, podemos determinar que hay, en promedio, 2.000 dispositivos minando a lo largo del día», dijeron los investigadores. «Si estimamos una tasa de hachís media de 150H/s, podríamos decir que los autores de esta campaña han recogido al menos 80 Monero (aproximadamente 6000 dólares) sólo de esta red de robots».

LEER  Ello, una red social que respeta a sus usuarios

Con las memorias USB como vector de propagación, ESET advirtió de nuevas infecciones que podrían ocurrir en el futuro. Pero con una parte significativa de la infraestructura C2 hundida, los bots ya no recibirán cargas secundarias. Sin embargo, aquellos que se vieron comprometidos antes de que los servidores C2 fueran derribados, seguirían minando a Monero.

«Una de las características interesantes de VictoryGate es que muestra un mayor esfuerzo para evitar la detección que las anteriores campañas similares en la región», concluyó el equipo de investigación.

«Y, dado que el botmaster puede actualizar la funcionalidad de las cargas útiles que se descargan y ejecutan en los dispositivos infectados desde la minería de criptografía a cualquier otra actividad maliciosa en un momento dado, esto supone un riesgo considerable».

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: