Los analistas de seguridad cibernética descubrieron un ataque masivo en todo el mundo llevando un malware peligroso llamado la botnet Smominru. Es capaz de manipular la configuración de los equipos comprometidos y se ha encontrado para instalar un minero criptomoneda Moneo que se aprovecha de los recursos disponibles y los utiliza para generar ingresos para los operadores. Leer el análisis completo para aprender más sobre él, así como para encontrar la manera de protegerse de amenazas entrantes. Si alguien experimenta los síntomas de una infección activa red de bots que pueden utilizar nuestro profundo Smominru guía de extracción para restaurar sus sistemas.
Smominru Botnet Ataques contra sobretensiones: Fuente de infecciones
Los analistas de seguridad informática que detectan un nuevo ataque botnet que ha logrado infectar a miles de víctimas en un tiempo muy corto. Por el momento no hay información sobre la identidad del hacker o colectiva criminal detrás de él. Algunos de los expertos proponen que la gente detrás de ella son un pequeño grupo de hackers.
Anteriormente algunos de su código se utilizó para propagar amenazas como Mirai lo que lo convierte en un arma poderosa en manos de todos los criminales. Las muestras obtenidas escaparate que los métodos de infección están relacionados principalmente con pruebas de penetración automatizadas. La plataforma de ataque puede cargar varios exploits que se dirigen a una amplia gama de aparatos, servidores y dispositivos de la IO. De acuerdo a los informes dados a conocer la tasa creciente de las infecciones son causadas por las credenciales de seguridad y bajo predeterminados dejadas por los propietarios. Los efectos sobre la servidores de bases puede ser particularmente devastador. Por lo general se ejecutan en servidores de Microsoft Windows y tener acceso tanto a Internet y la red interna. En muchos casos son también los controladores de administración de dispositivos tales como cámaras y otros periféricos. Dos de las hazañas más utilizados son los siguientes:
- EternalBlue (CVE-2017-0144) - Esta es la bien conocida popularmente vulnerabilidad utilizada durante los ataques ransomware WannaCry en mayo 2017. Se aprovechan las vulnerabilidades de protocolo SMB que se utiliza para el intercambio de archivos en las versiones actuales de Microsoft Windows.
- EsteemAudit (CVE-2017-0176) - Esta es una debilidad en el código de autenticación de tarjeta inteligente utilizada en las versiones de servidor de Microsoft Windows.
Dependiendo de la configuración de la amenaza pirata informático desplegado puede ser otra cosa que no sea la red de bots Smominru: ransomware, Troyanos y etc.. Sin embargo, los informes indican claramente que la carga principal en todas las campañas hasta el momento parece ser el Monero minero criptomoneda. Los ataques de botnets Smominru víctimas localizadas principalmente en Rusia, India, Brasil, Taiwán y Ucrania.
Análisis Smominru Botnet: Los daños potenciales, según las
Hemos sido capaces de obtener varios informes que muestran de la forma en que el malware opera tan pronto como los objetivos se eligen. En comparación con otras amenazas similares que utiliza una secuencia de comportamiento complejo de hadas. Después de que se ha detectado una vulnerabilidad del código de explotación se inicia automáticamente que realiza la infiltración.
La siguiente parte de la infección botnet Smominru se realiza mediante scripts WMI. Se pueden programar utilizando varios lenguajes de programación (PowerShell y VBScript por ejemplo) que descarga y se acopla con el motor principal de malware. Es importante señalar que una vez que el malware se despliega a la víctima recibe gana la capacidad de crear sus propios procesos con privilegios administrativos. También se puede conectar a otras aplicaciones de forma automática o como parte de los patrones de comportamiento instalados. Una vez que la infección están en funcionamiento un archivo de configuración básica es cargado. Puede variar de víctima a víctima y un sinnúmero de diferentes patrones pueden estar implicados. La segunda etapa de carga una módulo de Troya que curiosamente informa a una servidor pirata informático controlado secundaria. Hay dos enfoques principales para este:
- El código troyano puede ser controlado por otro grupo, una táctica popular que a veces se propuso en los foros de hackers subterráneos. Los criminales pueden planificar las intrusiones de alto perfil organizándose en grupos - el primero se encarga de las intrusiones reales mientras que el segundo gestiona los consiguientes efectos y código malicioso desplegado.
- Si todos los componentes y los patrones de comportamiento de hackers son las obras de la misma colectiva penal entonces el uso de varios servidores de hackers. Si el principal se desconecta entonces todavía tendrán la capacidad de controlar los huéspedes infectados.
El siguiente paso instala una La minera criptomoneda que se inicia automáticamente para aprovechar los recursos de hardware disponibles. Las operaciones de cálculo complejo de la mina la moneda digital monero que se transfiere a los operadores como ganancias. Esta es una de las alternativas más populares a Bitcoin y más de las últimas semanas hemos visto varios ataques a gran escala que ofrecen programas maliciosos similares.
Otra ola de componentes de software malicioso puede seguir la botnet Smominru. La última ola de adiciones puede conducir a cambios en el sistema. Un ejemplo es la institución de una persistente estado de ejecución que impide automáticamente intentos de eliminación de usuario manual de. En tales casos, sería necesario el uso de una solución anti-spyware de calidad para eliminar las infecciones activas. Si alguna modificaciones del registro de Windows se hicieron los usuarios pueden experimentar problemas de desempeño y aplicación o servicio falla.
Por el momento se estima que alrededor 500 000 los usuarios de computadoras se ven afectados de las últimas campañas de ataque y su número crece de manera constante. Se cree que el beneficio generado asciende a 8900 Moneo, que por sus valores de tasa de cambio de hoy a alrededor $2,086,409.23.
Capacidades marco Smominru Botnet modulares
El hecho de que la botnet se realiza mediante un marco modular permite que los grupos criminales para crear nuevas actualizaciones. Tenemos la sospecha de que el código fuente puede ser publicado en línea en el hacker foros subterráneos en venta o comercializada entre los diversos grupos. Los analistas señalan que este tipo de amenaza se clasifica como sin archivo. Esto significa que todo el ataque puede ser causado por las secuencias de comandos que se ejecutan todos los pasos adicionales en la memoria del ordenador central hasta que la amenaza se instala por completo.
análisis antivirus pueden evitarse si el módulo de recolección de información se dedica durante los primeros actos de intrusión. Justo después de los scripts se ejecutan los hackers pueden incrustar un patrón de comportamiento en particular en la configuración del software malicioso. Es capaz de escanear el sistema - tanto en el disco duro y la memoria candidato a la información sensible. Hay dos categorías principales de datos que pueden ser esbozados:
- Información personal - Los piratas informáticos pueden cosechar las cadenas que están relacionados con su identidad. El motor de malware está programado para adquirir todo tipo de información relacionada con el nombre de la víctima, dirección, ubicación, preferencias e incluso contraseñas.
- Los datos anónimos - Diversas estadísticas relacionadas con la versión del sistema operativo y los componentes de hardware es recogida por el motor.
En muchos casos debido a la infección profunda de los operadores de malware también puede recuperar los datos de las aplicaciones instaladas por el usuario, así. Un ejemplo muy conocido es el navegador web - los piratas informáticos pueden cosechar los datos almacenados: historia, marcadores, los datos del formulario, preferencias, Galletas, contraseñas y credenciales de la cuenta. Utilizando los mismos mecanismos que también puede imponer una código de redireccionamiento mediante la modificación de la página de inicio por defecto, motor de búsqueda y nueva página de pestañas. Por lo general, las víctimas son redirigidos a páginas de malware que instituto de cookies de rastreo y espiar a los usuarios.
Se encontraron Algunas de las muestras obtenidas para ofrecer una la protección de sigilo característica que se puede configurar de forma individual en función de la campaña de ataque. Usando la información recuperada de la botnet puede escanear en busca de la presencia de software antivirus, entornos de caja de arena y de depuración y máquinas virtuales. Ellos pueden ser anuladas o se quitan y si el malware es incapaz de hacerlo por lo que puede optar por eliminar en sí para evitar ser detectados.
Los archivos de virus también pueden ser programados para infectar el Ventanas carpeta cambiando el nombre de sus componentes como archivos del sistema y colocarlos allí. Cuando esto se utiliza en una combinación con una keylogger los hackers pueden grabar todos los movimientos del ratón y las pulsaciones de teclado en una base de datos que se transmite a los operadores de hackers.
Durante el análisis de código a fondo se descubrió que algunas de las muestras de malware producidos están firmados con certificados chinos. Es posible que los grupos de hackers están operando desde el
Los usuarios de ordenadores pueden deben estar siempre en estado de alerta para las infecciones de malware. Un análisis gratuito puede revelar tales casos y permitir una eliminación simple.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: