La botnet Smominru que es un arma muy conocida y utilizada por las organizaciones criminales ha sido revelada para llevar a cabo una campaña masiva con el objetivo de infectar a las víctimas con los mineros criptomoneda.
Los archivos de carga útil que llevan las infecciones son imágenes JPEG de Taylor Swift. Los nombres alternativos con los que se conoce la botnet incluyen MyKings y DarkCloud.
Las imágenes de Taylor Swift pueden infectarlo con un minero: Ataque coordinado por Smominru Botnet
La botnet Smominru es una conocida amenaza que se sabe activa desde 2016 y utilizado en varios ataques dirigidos. En la mayoría de los casos, se ha utilizado para entregar mineros y troyanos contra objetivos establecidos.. En algunas de las últimas versiones, los piratas informáticos han agregado un función bootkit que deshabilitará el software y los servicios de seguridad en ejecución y se ocultará del descubrimiento. Las redes de bots como esta se están distribuyendo utilizando una variedad de tácticas, sin embargo, los más populares son los siguientes:
- Intentos de inicio de sesión de fuerza bruta - Las infecciones se automatizarán mediante el uso de conjuntos de herramientas de piratería que identificarán los servicios en ejecución en el objetivo e intentarán ataques de diccionario e inicios de sesión de fuerza bruta.
- el aprovechamiento de vulnerabilidades - Los kits de herramientas pueden buscar debilidades en los servicios y utilizar exploits populares para tomar el control de los dispositivos..
Los informes indican que se ha lanzado la nueva versión de Smominru Botnet para difundir imágenes JPEG de Taylor Swift. Estos archivos se publican en formato de foto JPG en un repositorio público.. Cuando las víctimas acceden a ellos, un script lanzará un código ejecutable que iniciará una infección.. La infección de la botnet también se establecerá como persistente amenaza lo que significa que los archivos de configuración y la configuración se cambiarán para que se inicien automáticamente tan pronto como se inicien los hosts.
El motor principal entregará peligroso mineros criptomoneda que son scripts de pequeño tamaño que descargarán tareas complejas que “mía” la criptomoneda Monero: procesamiento de transacciones en la red descentralizada. Hasta ahora, la botnet ha reclutado 45,000 hosts y lo mio $300 por día. Según los informes los principales objetivos de la botnet se encuentran en Asia. Los mejores países son: China, Rusia, Taiwán, India, Estados Unidos y Japón. Se cree que el grupo de piratería detrás de las últimas campañas de ataque tiene experiencia, ya que las versiones actualizadas son una mejora significativa con respecto a las iteraciones anteriores..
Aparte de los mineros, hay otras infecciones que son transmitidas por la botnet.:
- Troyano PCShare - Este troyano se iniciará automáticamente cada vez que se encienda la computadora e iniciará el motor troyano típico que permitirá a los piratas informáticos tomar el control de los hosts de las víctimas.
- Troyano DNSChanger - Este módulo troyano exhibirá una acción de cambio de sistema avanzado: la configuración de DNS del host se cambiará a un servidor con sede en China. No es operado por un grupo de piratería en este momento y se desconoce el motivo.. Otros módulos incluyen un componente de fuerza bruta SQL, escaneo masivo de puertos y un modo de descubrimiento de red.
- Dloadr Malware - Estos son archivos peligrosos del instalador de Nullsoft que se utilizan para entregar varios tipos de amenazas de virus.
- Troyano Forshare - Este es un troyano común de hadas que contiene texto chino en sus metadatos..
- Troyano ladrón de monedas - Algunas de las amenazas menos comunes incluyen este tipo de malware.. Realizan múltiples comprobaciones que buscarán cualquier software de criptomoneda y servicios web instalados.. El motor manipulará los campos y recopilará los datos de la cuenta para secuestrar sus activos..
Dado el hecho de que los ataques en curso tienen éxito y continúan propagándose, anticipamos que se seguirán produciendo actualizaciones futuras de la botnet y nuevas campañas de ataque..
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: