Etiqueta: criptomonedas

Varias extensiones de Kodi comprometidas para minar criptomonedas

El equipo de investigadores de ESET ha encontrado varias extensiones de Kodi utilizadas para distribuir malware de minado de criptomonedas.

 

Kodi (antiguo XBMC) es un popular ‘Media Center’ soportado de forma nativa en las principales plataformas: Linux, Mac OS X y sistemas operativos de Microsoft Windows.

Kodi por si solo no provee ningún contenido, está pensado para ser extendido mediante aplicaciones de terceros. Esta característica ha sido explotada más de una vez por algunos atacantes para incluir código malicioso en las instalaciones de sus usuarios.

En el caso que nos ocupa se trata de una campaña de software de minado de criptomonedas distribuido desde dos populares repositorios de plugins para Kodi: Bubbles y Gaia (y sus respectivos forks).

El análisis de ESET reveló que el malware funciona sobre Windows y Linux para minar la criptomoneda Monero (XMR).

La infección puede ocurrir de tres formas:

  1. Incluyendo un repositorio malicioso e instalando alguna de las extensiones comprometidas.
  2. Instalando una versión de Kodi que incluya el repositorio malicioso de serie.
  3. Instalando una versión de Kodi con las extensiones comprometidas de serie.
Etapas de ejecución del malware. Fuente: https://www.welivesecurity.com

Los países más afectados han sido Estados Unidos, Israel, Grecia y Reino Unido.

Para evitar y/o contrarrestar la amenaza recomendamos bloquear aquellos repositorios de terceros no confiables y escanear el dispositivo con algún software antivirus actualizado.

Algunos IOCs proporcionados por ESET:

B8FD019D4DAB8B895009B957A7FEBAEFCEBAFDD1
BA50EAA31441D5E2C0224B9A8048DAF4015735E7
717C02A1B040187FF54425A64CB9CC001265C0C6
F187E0B6872B096D67C2E261BE41910DAF057761
4E2F1E9E066D7D21CED9D690EF6119E59CF49176
53E7154C2B68EDBCCF37FB73EEB3E042A1DC7108
FF9E491E8E7831967361EDE1BD26FCF1CD640050
3CC8B10BDD5B98BEA94E97C44FFDFB1746F0C472
389CB81D91D640BA4543E178B13AFE53B0E680B5
6DA595FB63F632EE55F36DE4C6E1EB4A2A833862
9458F3D601D30858BBA1AFE1C281A1A99BF30542
B4894B6E1949088350872BDC9219649D50EE0ACA
79BCC4F2D19A394DD2DB2B601208E1D1EA57565B
AAAEDE03F6C014CEE8EC0D9C0EA4FC7B0E67DB59
C66B5ADF3BDFA87B0731512DD2654F4341EBAE5B
F0196D821381248EB8717F47C70D8C235E83A12E
7CFD561C215DC04B702FE40A199F0B60CA706660
08406EB5A8E75F53CFB53DB6BDA7738C296556D6
2000E2949368621E218529E242A8F00DC8EC91ED
5B1F384227F462240178263E8F2F30D3436F10F5
B001DD66780935FCA865A45AEC97C85F2D22A7E2
C6A4F67D279478C18BE67BEB6856F3D334F4AC42
EE83D96C7F1E3510A0D7D17BBF32D5D82AB54EF3
38E6B46F34D82BD23DEACD23F3ADD3BE52F1C0B6
90F39643381E2D8DFFF6BA5AB2358C4FB85F03FC
B9173A2FE1E8398CD978832339BE86445ED342C7
D5E00FB7AEA4E572D6C7C5F8D8570DAB5E1DD156
D717FEC7E7C697D2D25080385CBD5C122584CA7C
DF5433DC7EB272B7B837E8932E4540B216A056D8

Más información:
 

ZombieBoy, nuevo malware de minado de criptomonedas

ZombieBoy, como lo ha bautizado el analista de seguridad James Quinn, es una nueva familia de malware de minado de criptomonedas que utiliza la capacidad de procesamiento de tu ordenador para obtener Moneros.

ZombieBoy tiene características de gusano, valiéndose de WinEggDrop para buscar nuevos hosts y propagarse. Para infectar a la víctima el virus utiliza la herramienta que le da nombre: “ZombieBoyTools”. Esta herramienta aprovecha dos conocidos exploits, EternalBlue y DoublePulsar para instalar la DLL maliciosa en la máquina de la víctima.

Captura de la herramienta ZombieBoyTools. Fuente: www.alienvault.com

Una vez instalada la DLL en la máquina, se descarga y ejecuta el binario “123.exe” desde ca[.]posthash[.]org:443. Este se encargará de descargar el resto de componentes del malware:

“64.exe”, además de estar encriptado con el packet “Themida” implementa algunas técnicas de evasión bastante sofisticadas. Se encarga de la propagación del virus y de ejecutar el miner (XMRIG), para ello utiliza “WinEggDrop” un escaner TCP que buscará víctimas potenciales contra las que ejecutar el exploit DoublePulsar. Adicionalmente “64.exe” utiliza el software XMRIG para minar Monero y enviarlo a las direcciones:

  • 42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw
  • 49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ

El otro componente descargado tiene el nombre de “74.exe”. Se encarga de descargar y ejecutar la DLL “NetSyst96.dll”, heredada del RAT “Gh0stRat”, permitirá al administrador del malware realizar algunas acciones sobre la máquina infectada de forma remota, como capturar la pantalla, grabar sonidos o alterar el portapapeles de la víctima.

“84.exe” es otro de los módulos droppeados por “123.exe”. Al igual que “74.exe” es un RAT utilizado para extraer información adicional sobre la víctima: SO utilizado, velocidad de la CPU o antivirus instalados. Además añade una entrada al registro que sirve para comprobar si el malware se está ejecutando por primera vez.

Flujo de actividad. Fuente: www.alienvault.com

Para comprobar si está infectado por ZombieBoy puede buscar si alguno de los binarios implicados se encuentra entre sus procesos:

  • 123.exe
  • 64.exe
  • 74.exe
  • 84.exe
  • CPUinfo.exe
  • N.exe
  • S.exe
  • Svchost.exe (OJO, siempre que no provenga de C:\Windows\System32)

Si es así debería detener estos procesos y borrar los ficheros implicados, así como las entradas al registro introducidas por el virus.

Entradas de registro maliciosas:

  • SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf
  • SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc
Ficheros descargados por el malware:
  • C:\%WindowsDirectory%\sys.exe
  • C:\windows\%system%\boy.exe
  • C:\windows\IIS\cpuinfo.exe
  • C:\Program Files(x86)\svchost.exe
  • C:\Program Files\AppPatch\mysqld.dll
  • C:\Program Files(x86)\StormII\mssta.exe
  • C:\Program Files(x86)\StormII\*
  • C:\Archivos de programa (x86)\svchost.exe
  • C:\Archivos de programa\AppPatch\mysqld.dll
  • C:\Archivos de programa (x86)\StormII\mssta.exe
  • C:\Archivos de programa (x86)\StormII\*
Más información:
 
ZombieBoy: