BeInCrypto - La firma Cisco alertó sobre el alcance del virus denominado Prometei. Según los datos entregados por la empresa, el malware afectó unas diez mil computadores empleados para minar Monero. El período analizado arranca en noviembre de 2022 y en el informe se remarca la evolución del virus desde su primera aparición, en 2016.
Cisco presentó las principales conclusiones de su trabajo en la web de la empresa y en redes sociales:
“La red de bots #Prometei sigue creciendo años después de su descubrimiento. Más recientemente, lo encontramos agregando nuevas herramientas para apuntar a máquinas #Linux y objetivos en más de 155 países diferentes en todo el mundo.”
The #Prometei botnet continues to grow years after it was first discovered. Most recently, we found it adding new tools to target #Linux machines and targeting up to 155 different countries across the globe. https://t.co/la4Nu6sdau pic.twitter.com/LJG8OovnIX— Cisco Talos Intelligence Group (@TalosSecurity) March 10, 2023
Talos puntualizó que la actividad de minería de criptomonedas y robo de credenciales de Prometei tiene una motivación financiera y es geográficamente indiscriminada. Es un botnet porque ataca a un grupo de computadoras, sobre las cuales busca tener el control. Sus infecciones son oportunistas y se dirigen a entidades vulnerables en todas las regiones y verticales de la industria para respaldar un mayor rendimiento de credenciales recolectadas y minería de la criptomoneda Monero.
La red de bots Prometei es de tamaño mediano e infectó a unas 10,000 computadoras en todo el mundo. La distribución geográfica de los sistemas infectados muestra una parámetro uniforme proporcional a la población de los países, con tráfico capturado de 155 países. Como era de esperar, los países más poblados tienen la mayor cantidad de sistemas infectados, con la excepción de Brasil, Indonesia y Turquía que muestran una mayor proporción de infecciones en comparación con las poblaciones de esos países.
Un solo país que se destaca es Rusia, con una cantidad desproporcionadamente menor de infecciones, que representa el 0,31 por ciento de todos los sistemas infectados, lo que respalda la teoría de que el objetivo del bot está influenciado por el conflicto entre Rusia y Ucrania en función de su configuración Tor.
La evolución de Prometei
El trabajo de los especialistas determinó que Prometei, lejos de estar controlado, podrá evolucionar en el futuro. Su infraestructura continúa mostrando un flujo constante de actividad, mientras que los operadores rotan constantemente sus hosts de minería cripto y malware. Su actualización y expansión demuestran un conocimiento técnico que les permitirá continuar propagando la botnet a nuevas víctimas y adaptándose a nuevas defensas y protecciones.
El análisis pudo concluir que Prometei logra evadir las medidas de seguridad de Windows y Linux. Además, adquiere permisos de administrador para, finalmente, tomar el control de los recursos de la PC.
El estudio pudo observar que los desarrolladores del virus implementaron un mecanismo de actualización automática y una versión integrada del servidor web Apache con un shell web que se implementa en los hosts de las víctimas, lo que mejora las capacidades técnicas generales de la red de bots.
El equipo de la víctima puede verse afectado a partir de un archivo .zip malicioso, o bien una descarga involuntaria. También puede lograr su objetivo a través de un e-mail.
Si bien algunos componentes de la infraestructura permanecen sin cambios respecto al informe que Cisco elaboró en 2020, los impulsores de Prometei han realizado modificaciones que automatizan la actualización de componentes e infraestructura, perjudican el análisis de los antivirus y afianzan aún más la infección en las máquinas de las víctimas.
Se pudo determinar que la cadena de ejecución y las acciones posteriores realizadas por la botnet fueron iniciadas por un comando malicioso de PowerShell que descargó el módulo principal de escucha y ejecución.
El post Malware de minería de Monero (XMR) afecta 10 mil computadoras en 155 países fue visto por primera vez en BeInCrypto.
Continúe leyendo en BeInCrypto