Se cree que una operación de minería de criptomonedas a gran escala, que lleva activa durante más de 4 meses, ha impactado a unos 30 millones de sistemas en todo el mundo, dicen los investigadores de seguridad de Palo Alto Networks.
La campaña, que intenta explotar la criptomoneda Monero utilizando la herramienta de código abierto XMRig, ha afectado principalmente a usuarios en el sudeste de Asia, África del Norte y América del Sur. La campaña empleó archivos VBS ( Visual Basic Script) y servicios de acortamiento de URL para instalar la herramienta de minería y también utilizó los servicios de proxy de XMRig en los hosts para enmascarar los monederos usados.
Los datos de telemetría del servicio de acortamiento de URL Bit.ly, sugirieron que al menos 15 millones de personas se vieron afectadas. Sin embargo, con menos de la mitad de las muestras identificadas que usan Bit.ly, los investigadores especulan que la cantidad real de usuarios afectados podría ser de más de 30 millones.
La campaña empleó más de 250 archivos únicos de Microsoft Windows PE, más de la mitad de los cuales se descargaron del proveedor de almacenamiento en la nube en línea 4sync. Sin embargo, lo que los investigadores no pudieron establecer fue cómo se iniciaron las descargas de archivos.
Los atacantes intentaron hacer que sus archivos parecieran tener ambos nombres genéricos y que se originaran en servicios populares para compartir archivos.
El servicio de acortamiento de URL Adf.ly que paga a los usuarios cuando se hace clic en sus enlaces también se utilizó en esta campaña. Cuando los usuarios hicieron clic en estas URL de Adf.ly, se redireccionaron y terminaron descargando el malware de minería qeu se encontraba cifrado.
El malware utilizado en esta campaña estaba destinado a ejecutar el software de minería XMRig a través de archivos VBS y utiliza los servicios de proxy de XMRig para ocultar el destino del grupo de minería final. También utiliza Nicehash, un popular mercado en internet que permite a los usuarios intercambiar potencia de procesamiento hash (es compatible con varias monedas criptográficas y los vendedores se pagan en Bitcoin).
Antes del 20 de octubre de 2017, los atacantes detrás de esta campaña usaban la herramienta incorporada BITSAdmin de Windows para descargar la herramienta de minería XMRig desde una ubicación remota. La carga final se instaló principalmente con el nombre de archivo 'msvc.exe'.
Después de esa fecha, los atacantes comenzaron a experimentar con los servicios de redireccionamiento HTTP, pero continuaron usando los archivos SFX para descargar y desplegar su malware. También comenzaron a complementar las consultas sobre minería con un nombre de usuario y a realizar intentos de ofuscación dentro de los archivos VBS para evitar su detección.
A partir del 16 de noviembre de 2017, los atacantes eliminaron los archivos SFX y adoptaron ejecutables compilados en Microsoft .NET Framework. Estos escribirían un archivo VBS en el disco y modificaron agunas llaves del registry de Windows para lograr la persistencia.
A finales de diciembre, el malware se compiló con Borland Delphi y colocaría el archivo VBS en la carpeta de inicio de la víctima para lograr su persistencia. Las últimas muestras que utilizan este malware también cambiaron a una nueva dirección IP para la comunicación XMRig, a saber, 5.23.48 [.] 207.
Según los investigadores, la campaña afectó a la mayoría de los países del mundo. Según los datos de geolocación de Bit.ly, los ataques parecen haber afectado a Tailandia (3.545.437 víctimas), Vietnam (1.830.065), Egipto (1.132.863), Indonesia (988.163), Turquía (665.058), Perú (646.985), Argelia (614.870), Brasil (550,053), Filipinas (406,294) y Venezuela (400,661) en la mayoría.
Posted from my blog with SteemPress : https://www.todosobrecriptomonedas.cl/30-millones-posibles-equipos-infectados-una-operacion-mineria-criptomonedas/