KingMiner el nuevo malware que es utilizado para extraer criptomonedas de Monero, se basa en mejoras constantes para evitar la detección y aumentar las posibilidades de éxito.

Según los investigadores de la empresa israelí de ciberseguridad llamada Check Point Software Technologies, el malware conocido como KingMiner probablemente seguirá actualizándose en el futuro para aumentar la probabilidad de ataques exitosos. Lo inevitalbe hará que la detección sea aún más difícil.

KingMiner, se dirige como principal objetivo a servidores con los servicios de Microsoft, siendo específicos Internet Information Services (IIS) y SQL Server, emplea tácticas de fuerza bruta para adivinar las contraseñas de los usuarios con el fin de comprometer al servidor durante la fase inicial del ataque.

Versión más reciente

Al obtener acceso, se descarga un archivo de Windows Scriptlet (con la extensión .sct) antes de ser ejecutado en el equipo de la víctima. En la etapa de ejecución, se detecta la arquitectura de CPU del equipo y si se encuentran versiones anteriores de los archivos de ataque, la nueva infección los elimina. KingMiner descarga un archivo con extensión .zip, aunque no es un arvhivo ZIP, sino un archivo XML. El punto aquí es evitar los intentos de emulación.

Solo después de la extracción se crean nuevas clases de registro a partir de la carga útil de malware y se ejecuta el archivo XMRing que es el minador de Monero. Por diseño, el minero de la CPU XMRig esta diseñado para utilizar alrededor del 75% de la capacidad de la CPU, pero puede exceder como resultado de errores de codificación.

KingMiner ha sido capaz de evitar la detección empleando mecanismos relativamente simples como la ofuscación y ejecución del archivo sólo para no dejar rastros de actividades. Además, KingMiner está tomando medidas extremas para evitar que sus actividades sean monitoreadas o que sus creadores serán rastreados:

“Parece que el creador del malware KingMiner utiliza un grupo de minero privado para evitar cualquier tipo de supervisión de sus actividades. La API del grupo está desactivada y la cartera en cuestión no se utiliza en ningún grupo público de minería. Aún no hemos determinado qué dominios se utilizan, ya que también es privado.”

Las tasas de detección son bajas, los intentos de ataque son cada vez mayores

Pero incluso cuando los motores de detección informan que han reducido los índices de detección de KingMIner, se ha observado un aumento constante en los intentos de ataque del malware, según Check Point Software Technologies.

El informe de los investigadores de Check Point llega en un momento en el que se ha informado de un aumento de la incidencia de criptojacking en todo el mundo. En septiembre, se informó que el criptojacking había aumentado un 86% en el segundo trimestre de este año, según McAfee Labs.

En aquel momento, McAfee Labs indicó que los objetivos del malware de cryptojacking no eran sólo ordenadores personales, servidores, sino también cada vez más smartphones y otros dispositivos móviles con conexión a Internet, lo que indicaba que los cibercriminales estaban lanzando su red lo más amplia posible ante la caída de los precios de la criptomoneda.

También puedes leer: La amenaza de Cryptojacking en MikroTik afecta ahora a más de 415.000 routers en todo el mundo

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *