PowerGhost es un
malware "fileless" de minado de criptomonedas que utiliza Powershell
y el conocido exploit EternalBlue para propagarse.
Este tipo de malware
"sin fichero", básicamente son un tipo de malware que se instala y se
ejecuta en memoria, sin necesidad de escribir datos en el disco duro,
dificultando su detección.
Un script Powershell
ofuscado es el encargado de descargar el software 'mimikatz' junto con las
librerías necesarias y el exploit EternalBlue usado para infectar otras
máquinas. Sin necesidad de escribir nada en el disco duro, el script se comunica
con el servidor de C&C para actualizarse, extraer información sobre las
cuentas de usuario del sistema (contraseñas incluidas) y propagarse a otras
máquinas conectadas en red.
PowerGhost utiliza la
herramienta Windows Management Instrumentation (WMI) incluida por defecto en el
sistema para almacenar los módulos necesarios. Cada 90 minutos, se ejecutará un
script Powershell en el que se inyectará el portable con el 'miner', mediante
un ataque conocido como 'reflective PE injection'.
Se han encontrado muestras
que además del software de minado incluyen herramientas para realizar ataques
DDoS, por lo que se sospecha que los atacantes puedan utilizar las máquinas
infectadas para ofrecer este tipo de servicio y conseguir un dinero extra.
Como contramedida se
recomienda deshabilitar el acceso a WMI o restringirlo a los administradores.
Más información:
·
Fileless
Malware PowerGhost Targets Corporate Systems https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/fileless-malware-powerghost-targets-corporate-systems
Fuente: Hispasec