Inicio Actualidad Blue Mockingbird distribuye malware de minería de Monero en empresas

Blue Mockingbird distribuye malware de minería de Monero en empresas

La compañía de seguridad Red Canary detectó a una agrupación de amenazas similares que ha venido filtrando mineros de Monero en equipos de redes empresariales. Así lo comunicaron el pasado 7 de mayo a través de una publicación en su sitio web.

Red Canary afirmó que han venido «monitoreando una amenaza potencialmente novedosa que está implementando cargas útiles de minería de criptomonedas Monero en máquinas Windows en múltiples organizaciones».

La compañía con sede en Denver, Colorado, bautizó a esta agrupación de actividades semejantes como Blue Mockingbird (Ruiseñor Azul), las cuales fueron detectadas por primera vez en diciembre del año pasado, y desde entonces se ha continuado con el monitoreo, llegándose a detectar cargas mineras compiladas hasta finales del pasado mes de abril, específicamente el día 26.

Blue Mockingbird se aprovecha de una vulnerabilidad

Red Canary manifestó que el malware de Blue Mockingbird filtra cargas útiles de minería de Monero en forma de biblioteca de enlace dinámico (DLL) y que se valen de la explotación de una vulnerabilidad de deserialización que afecta a ciertas aplicaciones web públicas:

 «Alcanzan el acceso inicial mediante la explotación de aplicaciones web públicas, específicamente aquellas que usan la interfaz de usuario de Telerik para ASP.NET, seguidas de ejecución y persistencia utilizando múltiples técnicas». Red Canary.

Publicidad

Red Canary explicó que dicha vulnerabilidad fue el punto de entrada en al menos dos incidentes relacionados con Blue Mockingbird, y que si bien ha sido común, no es exclusivo de este tipo de ataque.

La compañía de seguridad añadió que, luego de que la amenaza explota dicha vulnerabilidad, «se cargan dos archivos DLL en una aplicación web que se ejecuta en un servidor web Windows II».

Distribuidor de XMRIG en redes empresariales

Red Canary comunicó que la principal carga útil que se distribuye como DLL a través de los ataques de Blue Mockingbird es una versión del minero web de Monero XMRIG, el cual señalaron que es «una popular herramienta de minería de código abierto de Monero que los adversarios pueden compilar fácilmente en herramientas personalizadas».

Desde Red Canary determinaron que la carga útil era el minero XMRIG basándose en diversas pruebas. Entre ellas, mencionaron que cada DLL contenía una sección binaria «que parece exclusiva de las cargas útiles de minería de criptomonedas porque contiene el algoritmo de prueba de trabajo RandomX que XMRIG puede usar».

Asimismo, Red Canary indicó que se encontraron con diversas referencias a «xmrig» y sus números de versión en las cadenas binarias, así como también otras palabras presentes en líneas de comando del minero XMRIG, como: coin, donate-level, max-cpu-usage, cpu-priority y log-file.

Cabe destacar que la compañía notó tres formas de ejecución de esta herramienta de minería: el primer caso reportado fue la ejecución de una llamada explícita a la exportación de DLL, la cual señalaron que parecía exclusiva de este tipo de carga útil; la segunda fue usando la opción de línea de comandos; y la tercera forma de ejecución fue «la carga configurada como una DLL de servicio de Windows», reportó Red Canary.

De forma similar a otros ataques de malware que extraen criptoactivos sin consentimiento de los usuarios, Blue Mockingbird también se mueve de forma lateral en redes empresariales, distribuyendo los programas de minería dentro de organizaciones:

«Observamos que Blue Mockingbird se movía lateralmente usando una combinación del Protocolo de escritorio remoto para acceder a sistemas privilegiados y el Explorador de Windows para luego distribuir las cargas útiles a los sistemas remotos ( T1021.001 Protocolo de escritorio remoto , T1021.002 SMB / Windows Admin Shares ). En algunos casos, las tareas programadas se crearon de forma remota schtasks.exe /Spara garantizar la ejecución». Red Canary.

La compañía de seguridad explicó que hasta ahora han identificado dos direcciones de Monero utilizadas por Blue Mockingbird, e indicaron que están activas. Por tratarse de Monero, la compañía reportó que no pudo determinar el saldo de dichas direcciones

«Cada carga viene compilada con una lista estándar de dominios de minería de Monero comúnmente utilizados junto con una dirección de billetera de Monero. Hasta ahora, hemos identificado dos direcciones de billetera utilizadas por Blue Mockingbird que están en circulación activa. Debido a la naturaleza privada de Monero, no podemos ver el saldo de estas billeteras para estimar su éxito». Red Canary.

Publicidad

De forma semejante, en octubre del año pasado el proveedor de productos de ciberseguridad Cyberbit reportó que más del 50% de todos los sistemas informáticos de un aeropuerto internacional en Europa (cuyo nombre y ubicación exacta no se revelaron) fueron infectados por un malware de minería de Monero. El descubrimiento ocurrió cuando la compañía instalaba uno de sus productos de ciberseguridad en dicho aeropuerto.

Imagen destacada por Gerd Altmann/ pixabay.com

Emily Faria
Ingeniera civil. Estudiante de Maestría en Ingeniería Ambiental. Bitcoiner. Con Bitcoin he aprendido mucho acerca del dinero y la privacidad en la era digital, así como también del movimiento cypherpunk. Sueño con un mundo donde se respeten la vida, la libertad individual y la propiedad privada; donde existan economías libres, descentralizadas y prósperas.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

- Publicidad -

Most Popular

Milcoin: la nueva criptomoneda mexicana

En México, los empresarios César Hank Inzunza y Cuautémoc Hank Myers han creado una nueva criptomoneda denominada Milcoin basada en centros turísticos y esperan...

¿Qué es Jinn? El primer procesador de computación ternaria

JINN es uno de los proyectos más emocionantes y esperados para la criptomoneda IOTA y sus entusiastas. Se trata de un revolucionario...

¿Qué es y cómo comprar PIVX? Toda la información

PIVX es una criptomoneda descentralizada de código abierto que se centra en la privacidad, la seguridad, el anonimato y las transacciones instantáneas...

Metal coin (MTL) – Sistema de pago para todos

¿Qué es? Metal es una aplicación de pago para su teléfono inteligente. Puede realizar pagos en todo el mundo utilizando solo su número de teléfono. Esto se...

¿Cómo comprar Stellar (XLM) en 2020? Toda la información y mejores consejos

  ¿Qué es Stellar? Stellar es una criptomoneda que surgió debido a un desacuerdo entre los fundadores de Ripple. No a todos ellos les gustaba la...
- Publicidad -