Minería Criptodivisa, o, para abreviar cryptojacking, es una de las principales amenazas de seguridad cibernética dirigidos tanto a usuarios individuales y empresas, redes completas incluidas. Según las estadísticas, uno de cada tres organizaciones ha sido blanco de los mineros criptomoneda.
El número de mineros criptomoneda (o cryptominers) ha ido aumentando, con las nuevas infecciones se descubren más sobre una base diaria. KingMiner es el nombre de la última de estas amenazas descubierto por investigadores de Trend Micro.
Más acerca del KingMiner Cryptominer
KingMiner es la minería del criptomoneda Moneo y se dirige a los servidores de Windows. Se detectó primero en la naturaleza en el medio de junio, y rápidamente después de que las versiones mejoradas fueron puestos en libertad en la naturaleza. El que está detrás de la minera está utilizando diversas técnicas de evasión, lo que conduce a reducido significativamente las tasas de detección, los investigadores dijeron. Por otra parte, el aumento de la infección está creciendo de manera constante.
KingMiner se dirige específicamente a los servidores de Microsoft, sobre todo IIS SQL, y los intentos de adivinar sus contraseñas mediante ataques de fuerza bruta. Una vez que se obtiene acceso, el malware descarga un archivo de Windows Scriptlet (.sct) y lo ejecuta en el ordenador de la víctima. El archivo está llevando a cabo las siguientes operaciones:
- El archivo detecta la arquitectura de la CPU correspondiente de la máquina.
- Si existen versiones anteriores de los archivos de ataque, mata el proceso exe relevante y elimina los archivos propios.
- Un archivo de carga útil postal (zip 64p.zip) se descarga sobre la base de la arquitectura de CPU detectado. Debe tenerse en cuenta que no es un archivo ZIP real, sino más bien un archivo XML que eludir los intentos de emulación.
- La carga útil XML incluye una burbuja base 64, que, una vez codificada, dará como resultado en el archivo “zip” previsto.
En caso de que se detecten las versiones anteriores de los archivos de malware en la máquina objetivo, serán eliminados por el nuevo, versión actualmente activa. Tras la extracción, KingMiner creará un conjunto de nuevas claves de registro y ejecutará un archivo minera XMRig que se especifica para la minería Monero.
El análisis muestra que el minero está configurado para utilizar 75% de la capacidad de la CPU de la máquina infectada. Sin embargo, los errores de codificación en realidad lo harán a 100% la utilización de la CPU.
En cuanto a la piscina minera del malware, Es privado y la API ha sido desactivado, y la cartera nunca se ha utilizado en las piscinas públicas de minería. Esto hace que sea prácticamente imposible para los investigadores rastrear los dominios que están en uso, o para definir la cantidad de monedas Monero minadas.
¿Quién está dirigido? Los investigadores dicen que pueden ver que el ataque está muy extendido actualmente, de México a la India, Noruega e Israel.
KingMiner es un ejemplo de la evolución de criptomoneda software malicioso minería que pueden eludir la detección común y los sistemas de emulación, Trend Micro dice. Los investigadores predicen que más ataques de este tipo se verán en el futuro.