La firma de ciberseguridad Darktrace ha identificado una nueva campaña de criptosecuestro diseñada para eludir Windows Defender y desplegar un software de minería de criptomonedas.
Resumen
Darktrace ha identificado una campaña de criptosecuestro que tiene como objetivo los sistemas Windows.
La campaña implica desplegar sigilosamente el NBminer para minar criptomonedas.
La campaña de criptosecuestro, identificada por primera vez a finales de julio, implica una cadena de infección en múltiples etapas que secuestra silenciosamente la potencia de procesamiento de una computadora para minar criptomonedas, explicaron los investigadores de Darktrace Keanna Grelicha y Tara Gould en un informe compartido con crypto.news.
Según los investigadores, la campaña se dirige específicamente a sistemas basados en Windows al explotar PowerShell, el shell de línea de comandos y lenguaje de scripting integrado de Microsoft, a través del cual los actores malintencionados pueden ejecutar scripts maliciosos y obtener acceso privilegiado al sistema anfitrión.
Estos scripts maliciosos están diseñados para ejecutarse directamente en la memoria del sistema (RAM) y, como resultado, las herramientas antivirus tradicionales que normalmente dependen de escanear archivos en los discos duros de un sistema no pueden detectar el proceso malicioso.
Posteriormente, los atacantes utilizan el lenguaje de programación AutoIt, que es una herramienta de Windows normalmente utilizada por profesionales de TI para automatizar tareas, para inyectar un cargador malicioso en un proceso legítimo de Windows, que luego descarga y ejecuta un programa de minería de criptomonedas sin dejar rastros obvios en el sistema.
Como una línea de defensa adicional, el cargador está programado para realizar una serie de verificaciones del entorno, como escanear en busca de señales de un entorno de sandbox y examinar el host en busca de productos antivirus instalados.
La ejecución solo procede si Windows Defender es la única protección activa. Además, si la cuenta de usuario infectada carece de privilegios administrativos, el programa intenta eludir el Control de Cuentas de Usuario para obtener acceso elevado.
Cuando se cumplen estas condiciones, el programa descarga y ejecuta el NBMiner, una herramienta de minería de criptomonedas bien conocida que utiliza la unidad de procesamiento gráfico de una computadora para minar criptomonedas como Ravencoin (RVN) y Monero (XMR).
En este caso, Darktrace pudo contener el ataque utilizando su sistema de Respuesta Autónoma al "prevenir que el dispositivo estableciera conexiones salientes y bloquear conexiones específicas a puntos finales sospechosos."
“A medida que las criptomonedas continúan ganando popularidad, como se observa con la alta valoración actual de la capitalización del mercado global de criptomonedas (casi USD 4 billones en el momento de escribir), los actores de amenazas seguirán viendo la minería de criptomonedas como una empresa rentable”, escribieron los investigadores de Darktrace.
Campañas de criptosecuestro mediante ingeniería social
En julio, Darktrace destacó una campaña separada donde actores maliciosos estaban utilizando tácticas complejas de ingeniería social, como hacerse pasar por empresas reales, para engañar a los usuarios para que descargaran software alterado que despliega malware de robo de criptomonedas.
A diferencia del esquema de criptosecuestro mencionado anteriormente, este enfoque tenía como objetivo tanto sistemas Windows como macOS y fue ejecutado por las propias víctimas sin que ellas lo supieran, quienes creían que estaban interactuando con personas internas de la empresa.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Darktrace señala una nueva campaña de criptosecuestro capaz de eludir Windows Defender
La firma de ciberseguridad Darktrace ha identificado una nueva campaña de criptosecuestro diseñada para eludir Windows Defender y desplegar un software de minería de criptomonedas.
Resumen
La campaña de criptosecuestro, identificada por primera vez a finales de julio, implica una cadena de infección en múltiples etapas que secuestra silenciosamente la potencia de procesamiento de una computadora para minar criptomonedas, explicaron los investigadores de Darktrace Keanna Grelicha y Tara Gould en un informe compartido con crypto.news.
Según los investigadores, la campaña se dirige específicamente a sistemas basados en Windows al explotar PowerShell, el shell de línea de comandos y lenguaje de scripting integrado de Microsoft, a través del cual los actores malintencionados pueden ejecutar scripts maliciosos y obtener acceso privilegiado al sistema anfitrión.
Estos scripts maliciosos están diseñados para ejecutarse directamente en la memoria del sistema (RAM) y, como resultado, las herramientas antivirus tradicionales que normalmente dependen de escanear archivos en los discos duros de un sistema no pueden detectar el proceso malicioso.
Posteriormente, los atacantes utilizan el lenguaje de programación AutoIt, que es una herramienta de Windows normalmente utilizada por profesionales de TI para automatizar tareas, para inyectar un cargador malicioso en un proceso legítimo de Windows, que luego descarga y ejecuta un programa de minería de criptomonedas sin dejar rastros obvios en el sistema.
Como una línea de defensa adicional, el cargador está programado para realizar una serie de verificaciones del entorno, como escanear en busca de señales de un entorno de sandbox y examinar el host en busca de productos antivirus instalados.
La ejecución solo procede si Windows Defender es la única protección activa. Además, si la cuenta de usuario infectada carece de privilegios administrativos, el programa intenta eludir el Control de Cuentas de Usuario para obtener acceso elevado.
Cuando se cumplen estas condiciones, el programa descarga y ejecuta el NBMiner, una herramienta de minería de criptomonedas bien conocida que utiliza la unidad de procesamiento gráfico de una computadora para minar criptomonedas como Ravencoin (RVN) y Monero (XMR).
En este caso, Darktrace pudo contener el ataque utilizando su sistema de Respuesta Autónoma al "prevenir que el dispositivo estableciera conexiones salientes y bloquear conexiones específicas a puntos finales sospechosos."
“A medida que las criptomonedas continúan ganando popularidad, como se observa con la alta valoración actual de la capitalización del mercado global de criptomonedas (casi USD 4 billones en el momento de escribir), los actores de amenazas seguirán viendo la minería de criptomonedas como una empresa rentable”, escribieron los investigadores de Darktrace.
Campañas de criptosecuestro mediante ingeniería social
En julio, Darktrace destacó una campaña separada donde actores maliciosos estaban utilizando tácticas complejas de ingeniería social, como hacerse pasar por empresas reales, para engañar a los usuarios para que descargaran software alterado que despliega malware de robo de criptomonedas.
A diferencia del esquema de criptosecuestro mencionado anteriormente, este enfoque tenía como objetivo tanto sistemas Windows como macOS y fue ejecutado por las propias víctimas sin que ellas lo supieran, quienes creían que estaban interactuando con personas internas de la empresa.