El equipo de
investigadores de Palo Alto Networks realiza un análisis de Rarog, un troyano
de minado de criptomonedas que está creciendo en popularidad debido a su
facilidad de uso y versatilidad.
Rarog se empezó a
vender en foros underground en junio del 2017. Su precio y su sencillez lo han
hecho muy atractivo para delincuentes noveles que quieren realizar ataques de
minado de criptomonedas.
Hasta la fecha se ha
detectado más de 166.000 infecciones relacionadas con Rarog alrededor de todo
el mundo. La mayoría de estas infecciones apuntan a ciudadanos de Filipinas,
Rusia e Indonesia.
El malware es muy
versátil: permite infectar dispositivos USB, configurar distintos programas de
minado para distintas criptodivisas, inyectar DLL en la víctima... Además de
contar con un panel web donde visualizar información estadística de los ataques
y administarlos.
A pesar de esto, no
se tiene constancia de ataques muy lucrativos. A lo sumo se ha podido encontrar
el equivalente a unos 120 dólares en una de las carteras de un atacante.
Como decíamos, el
troyano se puede adquirir en foros 'underground' por unos 6000 rublos, que al
cambio equivalen a unos 85€.
Una vez infectado el
sistema, el malware cuenta con varios métodos que permiten controlarlo de forma
remota:
- /2.0/method/checkConnection
- Comprueba el estado de la comunicación con el malware.
- /2.0/method/config
- Devuelve los parámetros de configuración del malware.
- /2.0/method/delay
- Devuelve el tiempo de espera después de ejecutar el software de minado.
- /2.0/method/error
- Devuelve información sobre los mensajes de error mostrados a la víctima.
- /2.0/method/get
- Devuelve información sobre la ruta del software de minado.
- /2.0/method/info - Devuelve el nombre del ejecutable.
- /2.0/method/setOnline
- Actualiza las estadísticas en el C&C.
- /2.0/method/update
- Actualiza el malware.
- /4.0/method/blacklist
- Procesos que pararían las operaciones de minado cuando están en
ejecución.
- /4.0/method/check
- Query remote C2 server to determine if ID exists.
- /4.0/method/cores
- Devuelve el porcentaje de CPU usado.
- /4.0/method/installSuccess
- Pide instrucciones al C&C.
- /4.0/method/modules
- Para cargar módulos adicionales en la víctima.
- /4.0/method/threads
- Funciones adicionales (Propagación por USB, ejecutables auxiliares,
etc.)
Todas estas acciones
se pueden llevar a cabo desde el panel de C&C donde además se muestra
información estadística sobre los ataques.
Los paneles de
control descubiertos por el equipo de Palo Alto se encuentran en su mayoría en
servidores de Rusia y Alemania.
Aunque Rarog no ha
sido muy mediático la tendencia al alza de este tipo de ataques y su facilidad
de uso han hecho crecer su popularidad.
Más información:
- Smoking Out the Rarog Cryptocurrency Mining Trojan: https://researchcenter.paloaltonetworks.com/2018/04/unit42-smoking-rarog-mining-trojan/
- Rarog IOCS https://github.com/pan-unit42/iocs/tree/master/rarog
- Blog Una al día http://unaaldia.hispasec.com/2018/04/rarog-malware-para-realizar-ataques-de.html
Fuente: Hispasec