Cryptomining software malicioso ha destronado ransomware como la principal amenaza cibernética, y como tal, que está evolucionando rápidamente. Dicho esto, un minero Monero basado en Python mediante exploits NSA robados y desactivación de funciones de seguridad ha sido descubierto por los investigadores de seguridad.
"En 2016, un grupo que se hacen llamar los corredores de la sombra filtró una serie de herramientas de hacking y exploits de día cero atribuidos a los actores de amenazas conocidas como el Grupo de la Ecuación, un grupo que se ha ligado a la Agencia Nacional de Seguridad de (NSA) unidad de medida las operaciones de acceso,”investigadores Fortinet dijo. Más tarde, en abril 2017, los hackers lanzó varios exploits como ETERNALBLUE y ETERNALROMANCE en armas.
Los dos hazañas estaban dirigidas a las versiones de Windows XP / Vista / 8.1 / 7/10 y Windows Server 2003/2008/2012/2016. Más específicamente, estas hazañas se aprovecharon de CVE-2017 hasta 0144 y CVE-2017-0145, parcheado con el boletín de seguridad MS17-010.
Al parecer,, la ETERNALBLUE explotar ahora está siendo utilizado en cryptomining malware como Adylkuzz, Smominru y WannaMine, los investigadores averiguaron. La nueva pieza de malware cryptomining se denominó PyRoMine. Los investigadores se encontraron con el malware después de aterrizar en una URL sospechosa que llevó a un archivo zip que contiene un ejecutable con PyInstaller.
Esto es lo que Jasper Manuel de Fortinet compartida en términos de descubrir el nuevo malware:
Originalmente vine sobre la hxxp URL maliciosa://212.83.190.122/servidor / controller.zip donde este malware se puede descargar como un archivo zip. Este archivo contiene un archivo ejecutable compilado con PyInstaller, que es un programa que empaqueta los programas escritos en Python en ejecutables independientes. Esto significa que no hay necesidad de instalar Python en la máquina con el fin de ejecutar el programa en Python.
Con el fin de extraer y analizar la secuencia de comandos Python y los paquetes que utiliza, el investigador utilizó una herramienta en PyInstaller dubbedpyi-archive_viewer. Usando pyi-archive_viewer, él fue capaz de extraer el archivo principal, llamado “controlador”.
PyRoMine no es la primera cryptominer que utiliza exploits NSA previamente filtrados para ayudar a su posterior distribución en todos los equipos. Cualquier sistema de Windows que no se ha aplicado el parche de Microsoft para el exploit es vulnerable a PyRoMine y piezas de malware similares.
Este malware es una amenaza real, ya que no sólo utiliza la máquina para la minería criptomoneda, pero también abre la máquina de posibles ataques en el futuro ya que comienza servicios de RDP y desactiva los servicios de seguridad, el investigador observó. Los usuarios que no han descargado el parche de Microsoft para las vulnerabilidades CVE-2017-0144 y CVE-2.017-0145 deben hacerlo tan pronto como sea posible de aquí.
Adicionalmente, los usuarios deben implementar el software anti-malware para proteger sus sistemas contra todo tipo de malware.
SpyHunter escáner sólo detecta la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: