La peligrosa tendencia de crear nuevas formas de infectar los equipos cliente ha llevado al desarrollo de WaterMiner - un Monero miner software malicioso evasiva. Un detallado de seguridad revela cómo este software malicioso se aprovecha de seguridad débil y se aprovecha de miles de computadoras en línea para generar ingresos en la moneda digital Monero.
El WaterMiner Monero Miner Revelado
Investigadores de seguridad descubrieron un nuevo el malware minero que se distribuye activamente en Internet a escala mundial. Su nombre se designa como el WaterMiner Monero Miner, de su nombre usos informáticos pueden adivinar que se designa a “mía” la criptomoneda Monero utilizando los recursos disponibles de las máquinas comprometidas. Los informes indican que este tipo de amenazas informáticas se están convirtiendo en muy popular y muy bien puede convertirse en una categoría separada pronto como aparezca más.
El malware fue detectado en la campaña malicioso que distribuye el virus modificado usando juegos “mods” que son utilizados con frecuencia por los juegos de ordenador para engañar a los juegos o modificar sus caracteres con estadísticas inusuales. El sitio de víctima que comenzó las infecciones WaterMiner. El comienzo de los ataques asociados con la amenaza se debió a un mod para los videojuegos Grand Theft Auto populares emitidos publicado en un foro de habla rusa llamada “sandía” que se traduce en “sandía” en ruso.
Los piratas informáticos distribuidos que a través de diferentes perfiles que hace que sea imposible descubrir la primera fuente original. Una de las razones más importantes por las que el minero WaterMiner Moneo tiene tanto éxito es porque los archivos de virus se reportaron limpia por un virus exploración total. Es posible que los criminales falsificados las exploraciones para confundir a los objetivos en infectar a sí mismos. El mod malicioso que aloja el minero WaterMiner Moneo está alojado en Yandex.Disk, uno de los servicios de intercambio de archivos populares rusas en un fichero de archivo RAR.
Capacidades de la WaterMiner Monero Miner
Una vez que las víctimas descarga el software minero WaterMiner Moneo en su forma archivado cuando el archivo RAR es varios archivos descomprimidos se revelan. Entre ellos se encuentra un archivo ejecutable llamado “pawncc.exe” el cual es un guión que conduce a la infección WaterMiner Monero. Cuando se ejecuta una secuencia de comandos se ejecuta el cual descarga el malware desde un servidor remoto. Los investigadores señalan que el siguiente orden es seguido:
- Comprobación del sistema inicial -Cuando las víctimas ejecutar la aplicación por primera vez, se verifica si la máquina no está infectado con el software WaterMiner. Si no se ha encontrado un marcador de la infección se crea en el registro de Windows en “HKLM Software IntelPlatform” con un valor de “Ld566xsMp01a” ajustado a “Nada”.
- La infección inicial - El software malicioso se descarga desde un sitio pirata informático controlado a distancia que alberga el archivo de virus. Los archivos identificados están siendo alojados en un perfil compartido Google Drive. Cuando se descarga el archivo del marcador de la infección se cambia el nombre a “cargado” y el minero se ejecuta en el equipo comprometido.
- Ejecución WaterMiner - El proceso malicioso se ejecuta bajo el nombre “Intel (R) Assistent.exe seguridad”, pero no se procederá si el conjunto del mercado no se especifica como “cargado”. Esto significa que un killswitch sencilla se puede crear lo que deshabilita el mecanismo Modificaciones en el registro de Windows.
Durante la investigación los investigadores descubrieron varios indicadores únicos en la forma en que se creó el virus. Se les permitió rastrear el código fuente de una versión anterior publicado en una instancia de Pastebin. El autor comenta que allí se exhiben que el malware WaterMiner se hace intencionadamente para infectar los sistemas de destino y el uso de sus recursos para la explotación del criptomoneda Moneo y generar ingresos para los operadores.
Más investigación sobre el WaterMiner Monero Miner
El código fuente descubierto ha llevado a un análisis detallado de los resultados finales destinados. Los comentarios están escritos en ruso y (por suerte) que llevaron a algunas ideas interesantes sobre la forma en que se ejecuta la WaterMiner.
Cuando se ejecuta la instancia y comenzó en los equipos cliente de un total de 11 archivos de minas se cargan en una carpeta temporal. Una instalación persistente después se consigue utilizando una combinación de diferentes sistemas de Ajustes de modificaciones. Esto efectivamente hace que la extracción manual imposible ya que el malware es capaz de realizar un seguimiento constante de las acciones de los programas de usuario o anti-virus. Para eliminar estas infecciones las víctimas deben utilizar una solución de calidad anti-spyware. El minero WaterMiner Moneo está destinado a ser descargado sólo una vez para ocultarse de análisis de reconocimiento de patrones y otras medidas de seguridad.
Además, los expertos en seguridad fueron capaces de seguir el código de la sección A-DO, que enumera las actualizaciones futuras posibles para el motor de núcleo. Los hackers detrás del Monero miner la intención de agrupar un módulo de copia de seguridad en el software malicioso. Esto permitirá que el programa para asegurar automáticamente contra la eliminación parcial, acceso o modificación no autorizada. Otra futura actualización puede llevar un mecanismo de persistencia mejorada mediante el programador de tareas.
El ejemplo mostrado es un ejemplo antes de que el malware WaterMiner Monero que cuenta con una táctica infección similar a la versión contemporánea, es decir, en la forma en que el proceso se guarda en un archivo temporal denominado “Intel(R) Assistent.exe seguridad”. Se instala como una infección persistente por medio de un valor de registro conjunto disfrazado “Oracle Corporation” aplicación.
Operaciones Monero Miner WaterMiner
El minero WaterMiner Moneo se conecta a un conjunto predefinido por tener instrucciones específicas en su archivo de configuración. Una piscina de minería es un nodo centralizado que lleva el bloque A Monero blockchain y lo distribuye a los pares conectados para el procesamiento. Cuando se devuelve un número determinado de acciones y verificado por la piscina una recompensa en forma de Moneo criptomoneda está cableado a la dirección de la cartera designado. En el caso de la instancia malicioso esta es la dirección operado por los criminales.
Se encontró que las cepas capturados para conectarse a Minergate que es una de las opciones más populares que los usuarios consideran. En informes anteriores que se trata de una de las piscinas que son ampliamente utilizados por botnets y cortado ordenadores. El software actual minero WaterMiner Monero es un verson modificada del software XMRig de código abierto ampliamente utilizado.
Por sí mismo esto no es un malware sin embargo, su instalación sin el consentimiento del usuario es identificado como un importante riesgo para la seguridad. Se han encontrado las versiones anteriores del virus de WaterMiner utilizar otro minero denominado Niza Hash. El cambio a XMRig es probablemente debido a que el software antiguo requiere una docena de diferentes archivos para funcionar correctamente en las máquinas comprometidas.
Los propios mineros confiar en los recursos del sistema disponibles para llevar a cabo cálculos complejos utilizando el procesador o las tarjetas gráficas. Uno de los signos más evidentes de infección es seria degradación del rendimiento. Algunas de las muestras capturadas defenderse de investigación sobre las posibles razones por la búsqueda continua del sistema de una ventana abierta que lleva el nombre de uno de los siguientes nombres o contiene una cadena relacionada: Administrador de tareas de Windows, Administrador de tareas, Anti-virus, Process Hacker. Los comandos internos mostrar que las cadenas se introducen en ruso y en Inglés.
Si se detecta cualquiera de las aplicaciones anteriormente mencionadas que están cerradas hacia abajo o el proceso de minería es detenido. Se trata de una función de protección de sigilo que intenta enmascarar la presencia de infección por las víctimas.
¿Quién está detrás de la WaterMiner Monero Miner
Uno de los aspectos interesantes relacionados con el malware es WaterMiiner sus creadores. Los investigadores de seguridad intentaron identificar el hacker o colectiva criminal entre el virus. La investigación comenzó con el seguimiento de los mensajes y las actividades de los perfiles del foro que distribuyen los infectados mods del juego GTA. La persona (o personas) detrás de la cuenta llamada “Martin Opc0d3r” fueron una referencia cruzada con otras placas de Internet. Los reportes ponen de manifiesto que en el momento de la distribución está ligado únicamente a la comunidad de jugadores se encuentran en este sitio.
Una de las muestras incluidas WaterMiner direcciones codificadas que albergan los casos de virus en URLs casi idénticos alojados en servidores web rusos. Es posible que se generan automáticamente por un script o un programa automatizado. Las muestras adicionales fueron encontrados en varios dominios siguientes un algoritmo compartido.
Algunos de los enlaces identificados por los investigadores ya no son accesibles. Durante las investigaciones los expertos señalan que las cepas similares se han encontrado. Es probable que ellos son versiones personalizadas de la minera WaterMiner Monero. Un fragmento de código Pastebin asociado con el perfil de hackers sugiere que algunos de los archivos que llevan el mismo nombre o similar son casos reales de Troya y no el propio minero de malware.
A medida que la investigación continúa adicionalmente mediante el análisis de la conducta, frecuencia de mensajes, links y demás actividad del perfil asociado a los atacantes, los investigadores señalan que el criminal cibernético tiene experiencia en el uso de diferentes sitios y redes. Sin embargo uno de los perfiles de la red social rusa VK una identidad diferente llamado Anton se ha utilizado.
Durante una discusión con otro usuario del hombre bajo el nombre de Anton admitió ser el hombre detrás de la identidad maliciosa. Cuando la información fue una referencia cruzada por los investigadores fueron capaces de confirmar parcialmente que esta persona es el hacker responsable de la Monero miner.
infecciones activas de la minera WaterMiner Monero pueden eliminarse con una solución de calidad anti-spyware. casos encontrados se pueden eliminar de manera eficiente por sólo unos pocos clics de ratón.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: