ZombieBoy: malware con funcionalidad de gusano centrado en la minería de criptomonedas

El mundo de las criptomonedas está en constante evolución, y de la misma forma que los usuarios buscan la forma de obtener las máximas ganancias minando o negociando con estas divisas, los delincuentes siguen desarrollando amenazas cada vez más sofisticadas para conseguir infectar más dispositivos que poner al servicio de sus redes de minado.

Criptominero con funcionalidades de gusano

Durante los últimos meses hemos visto como los delincuentes han ido adaptando sus técnicas para conseguir infectar cada vez más dispositivos para tenerlos a su disposición. Si al principio veíamos como se confiaba en que las víctimas instalasen el software de minado (engañándolas mediante la descarga de ficheros maliciosos camuflados como aplicaciones legítimas para luego pasar al minado a través de código JavaScript en todo tipo de webs), desde hace un tiempo se han observado campañas que combinan el criptominado con la capacidad de propagación de un gusano informático.

Esquema de funcionamiento de ZombieBoy – Fuente: AlienVault

Precisamente un malware con funciones de minado, y que incluye esta característica de gusano que le proporciona rapidez de propagación, ha sido detectado recientemente por el investigador James Quinn, quien publicó un completo análisis. Este investigador ha descubierto que, además de utilizar varios exploits para propagarse rápidamente, este malware también los utiliza para intentar evitar ser detectado.

Este malware ha sido bautizado como ZombieBoy por el uso que hace de una herramienta llamada ZombieBoyTools y que es utilizada para descargar la primera librería maliciosa en el sistema y luego utiliza varios exploits para propagarse, de formaparecida a como lo hacía otra amenaza similar como MassMiner, aunque utilizando sus propias herramientas para encontrar sistemas que infectar.

Uso de exploits conocidos

En el análisis de esta amenaza se han observado varios puntos interesantes, como por ejemplo un posible origen localizado en China, ya que lenguaje utilizado en su desarrollo es el chino simplificado. Si bien esta pista puede parecer definitiva a la hora de realizar atribuciones, nunca debemos de fiarnos al 100% de este tipo de detalles, puesto que esas evidencias podrían haber sido incluidas para despistar a los investigadores.

En cuanto al uso de exploits conocidos, ZombieBoy utiliza nada menos que 3 de ellos para propagarse y que aprovechan sendas vulnerabilidades, además de los sobradamente conocidos DoublePulsar y EternalBlue, para conseguir instalar remotamente la librería principal del malware, todo esto gracias a las herramientas ZombieBoyTools.

  • CVE-2017-0176: vulnerabilidad en escritorio remoto que permite la ejecución de código arbitrario en Windows XP y Windows Server 2003.
  • CVE-2017-0143: vulnerabilidad que permite la ejecución de código remotamente mediante protocolo SMB.
  • CVE-2017-0146: vulnerabilidad que permite la ejecución de código remotamente mediante protocolo SMB.

Captura de pantalla de la herramienta ZombieBoyTools – Fuente: AlienVault

A pesar de que esta amenaza está centrada en el minado de criptomonedas, la instalación de una funcionalidad backdoor por RDP permitiría al atacante infectar el sistema con otras amenazas tales como el ransomware. Una vez infectado el sistema, este empezará a minar la criptomoneda Monero, reportándole un beneficio directo a los delincuentes e incrementando este beneficio conforme más sistemas logren infectar.

Según el investigador, esta amenaza está actualizándose constantemente, seguramente para intentar evadir la detección por parte de los motores antivirus. Además, utiliza técnicas de detección de entornos virtualizados para dificultar su análisis, ya que no se ejecuta normalmente si detecta que se intenta ejecutar en una máquina virtual.

Conclusión

El uso de exploits que permiten a una amenaza como esta propagarse rápidamente en una red corporativa permite a un atacante tener a su merced a una importante cantidad de equipos en poco tiempo, ya sea para realizar funciones de minado u otras acciones maliciosas como las que vimos el año pasado con casos como WannaCry o Petya.

Por amenazas como ZombieBoy y muchas otras, es importante mantener nuestros dispositivos actualizados con los parches de seguridad que se vayan publicado. La minería de criptomonedas sigue proporcionando importantes beneficios a los delincuentes y por eso no sería raro ver más amenazas similares en las próximas semanas o meses.

Josep Albors

 

«Hoy en día la gente no está concienciada de los peligros que existen en Internet», Tamara Hueso