PyRo Mine utiliza una herramienta de la NSA para recolectar Monero
Los atacantes son conocidos por utilizar todos los medios disponibles para obtener criptomonedas. Investigadores de Fortinet reportaron esta semana que hackers utilizan un nuevo malware que llaman PyRo Mine para recolectar Monero de manera silenciosa.
El malware basado en Python utiliza un exploit de la NSA para esparcirse en máquinas Windows al mismo tiempo que desactiva software de seguridad y permite la filtración de datos no cifrados. También reconfigura el Windows Remote Management Service, dejando la maquina vulnerable para futuros ataques.
“Investigadores han descubierto que los autores del malware están utilizando el exploit ETERNALBLUE en malware de minería de criptomonedas, como Adylkuzz, Smominru, y WannaMine. PyRo Mine utiliza el exploit ETERNALROMANCE”, escribió el investigar de Fortinet Jasper Manuel en su blog.
La URL maliciosa con un zip descargable compilado con Pyinstaller es peligroso porque empaqueta programas Python en ejecutables del tipo stand-alone, así los hackers no necesitan instalar Python en la máquina para ejecutar el programa.
“Muchas de las últimas herramientas vienen equipadas con varios cargas útiles que simplemente tienen la funcionalidad de ejecutar ataques, recolectar datos y aprovecharse de configuraciones deficientes de seguridad. Y todo esto viene en un bonito y ordenado paquete, tomando ventaja de que no hemos actualizado o que no ponemos la atención necesaria en lo que estamos descargando,” dijo el jefe de seguridad de ACALVIO, Chris Roberts.
La combinación de técnicas de ataques que Manuel descubrió analizando los scripts y paquetes permiten al actor malicioso permanecer oculto mientras se ejecutan vectores de ataques adicionales. Porque no realizan mucho ruido, pueden permanecer indetectables por largos periodos de tiempo.
“Mirando el script, me di cuenta de que el código fue copiado del exploit ETERNALROMANCE encontrado en el sitio exploit database, que con algunas modificaciones para apegarse a las necesidades. Este malware obtiene la IP local y busca las subredes locales, luego itera por todas las IP de estas subredes para ejecutar su payload,” dijo Manuel.
Aunque no se ha extendido ampliamente hasta el momento, aquellos que no han parchado estas vulnerabilidades conocidas continúan siendo objetivos potenciales ya que los expertos esperan ver más de este tipo de ataques en el futuro.