PowerGhost script de
minado de criptomonedas afectan a WindowsPowerGhost script de minado de
criptomonedas afectan a Windows
Se trata de un script
que está programado para ser ejecutado utilizando la PowerShell de los equipos
Windows. Esto ya nos permite saber cuál es su objetivo. Salvo raras
situaciones, los ciberdelincuentes siempre se han centrado en afectar el mayor
número de equipos posible.
Los expertos en
seguridad de Kaspersky han tenido la oportunidad de analizar en detalle la
actividad de la amenaza. En primer lugar, destacan que se trata de un software
que cuenta con la lógica necesaria para asentarse en un sistema. Es decir, no
se trata de una pieza de código aislada. Puede conseguir persistencia en el
equipo y ejecutarse después de cada reinicio.
Desde Kaspersky
indican que en más de una ocasión, se ha podido observar cómo los
ciberdelincuentes se sirven de software legítimo para infectar equipos. Al
tratarse de programas conocidos por los usuarios, su capacidad para alcanzar un
número mayor de sistemas se eleva. Sin embargo, los responsables de PowerGhost
han tomado una dirección totalmente opuesta: no se utilizan archivos soporte de
otros softwares.
El resultado, una de
las amenazas mejor programadas en lo que se refiere a acciones de minado de
criptomonedas.
Expansión de PowerGhost
Según indican desde
Kaspersky, el punto fuerte de esta amenaza es su expansión a otros equipos
desde máquinas ya infectadas. Ya hemos indicado que se trata de uno de los
malware de minado mejor programado. Un claro ejemplo es su distribución, basada
fundamentalmente en la búsqueda de equipos en la red de área local. Una vez
conseguido las credenciales de algún usuario del equipo infectado, se sirve de
WMI para replicarse a otro equipo. Llegado a este, el proceso continuará, tal y
como ya hemos descrito.
Pero no nos vamos a
engañar. Para realizar esta operación, se sirve de vulnerabilidades existentes
en el sistema y que no han sido parcheadas. El listado de estas es el
siguiente:
CVE-2017-0144
CVE-2018-8120
Mantenimiento
El malware
evoluciona. Eso es algo que debemos tener presente y que sucede desde hace
tiempo. Los expertos en seguridad de Kaspersky han comprobado que, pasadas unas
horas desde su “instalación” en el sistema, la amenaza busca acceder a Internet
y conectar con un servidor de control remoto. Explican que el tráfico es
frecuente. Esto solo quiere decir que, o se envía información de forma
periódica, o se realizan peticiones en búsqueda de actualizaciones de su
código.
Detección y presencia en países
Además de mantener
actualizado el sistema operativo Windows de forma correcta, los usuarios deben
contar con una herramienta de seguridad activa. La amenaza puede catalogarse
utilizando las siguientes definiciones:
- Exploit.Win32.Generic
- Trojan.Win32.Generic
- RiskTool.Win32.BitMiner.gen
En lo que se refiere
a presencia en los países, debemos decir que en Europa, por el momento, la
penetración es escasa. También es cierto que, la actividad de esta amenaza se
limita solo a un par de días. Es probable que durante las próximas semanas, se
observen avances de este software de minado de criptomonedas en equipos
Windows.
Fuente: SecureList