Un malware para Windows está infectando equipos utilizando un exploit de la NSA que se ha filtrado, su nombre es EternalBlue y sirve para infectar ordenadores y posteriormente secuestrarlos con el fin de colocarlos a trabajar en minería de bitcoin.
Este malware se le ha identificado como CoinMiner y hasta ahora es bastante difícil de detectar y detener, debido a que emplea diferentes técnicas de persistencia en un ordenador infectado. El primer aspecto es que utiliza EternalBlue para ingresar en un sistema vulnerable con Windows, seguidamente emplea la herramienta toolkit WMI para ejecutar comandos maliciosos.
Esta herramienta facilita el proceso para automatizar tareas administrativas en equipos remotos y brinda la posibilidad de obtener los datos de administración de estos equipos y justamente es lo que necesita CoinMiner para obtener acceso a un sistema que utiliza EternalBlue, obligando al equipo a ejecutar varios scripts en segundo plano y una conexión a los servidores C&C del atacante.
Los usuarios y empresas deben estar siempre atentos ya que el mundo de la ciberdelincuencia no se detiene, ejemplo de ello es la existencia de Ovidiy Stealer, un malware para robar contraseñas que se puede comprar por 7 dólares.
Cómo funciona CoinMiner
La primera etapa del malware se encuentra en el servidor al que ingresa por medio de la herramienta Toolkit para acceso remoto, en el que están contenidas todas las instrucciones sobre dónde descargar el el software para minería bitcoin y todos sus componentes, además de todos los datos para comenzar lo que sería la segunda y tercera etapa del ataque.
Esta operación se mantiene activa, por lo que especialistas de seguridad han indicado a los administradores de TI en las empresas que establezcan restricciones a los accesos remotos. Lo ideal es que se conceda el acceso sólo a grupos específicos de cuentas de administrador que necesiten utilizar este método para así reducir el riesgo de ataques.
Así mismo se recomienda emplear la herramienta de Microsoft que puede rastrear la actividad de acceso remoto. Por último se emplaza a instalar el parche de seguridad que corrige la vulnerabilidad de EternaBlue bajo el nombre MS17-010 que fue lanzada por la empresa de Redmond en marzo pasado y así se puede evitar al malware para Windows que está infectando equipos utilizando un exploit de la NSA.
Vía: Wccftech
- Ver Comentarios