Inicio Actualidad Blue Mockingbird distribuye malware de minería de Monero en empresas

Blue Mockingbird distribuye malware de minería de Monero en empresas

La compañía de seguridad Red Canary detectó a una agrupación de amenazas similares que ha venido filtrando mineros de Monero en equipos de redes empresariales. Así lo comunicaron el pasado 7 de mayo a través de una publicación en su sitio web.

Red Canary afirmó que han venido «monitoreando una amenaza potencialmente novedosa que está implementando cargas útiles de minería de criptomonedas Monero en máquinas Windows en múltiples organizaciones».

La compañía con sede en Denver, Colorado, bautizó a esta agrupación de actividades semejantes como Blue Mockingbird (Ruiseñor Azul), las cuales fueron detectadas por primera vez en diciembre del año pasado, y desde entonces se ha continuado con el monitoreo, llegándose a detectar cargas mineras compiladas hasta finales del pasado mes de abril, específicamente el día 26.

Blue Mockingbird se aprovecha de una vulnerabilidad

Red Canary manifestó que el malware de Blue Mockingbird filtra cargas útiles de minería de Monero en forma de biblioteca de enlace dinámico (DLL) y que se valen de la explotación de una vulnerabilidad de deserialización que afecta a ciertas aplicaciones web públicas:

 «Alcanzan el acceso inicial mediante la explotación de aplicaciones web públicas, específicamente aquellas que usan la interfaz de usuario de Telerik para ASP.NET, seguidas de ejecución y persistencia utilizando múltiples técnicas». Red Canary.

Red Canary explicó que dicha vulnerabilidad fue el punto de entrada en al menos dos incidentes relacionados con Blue Mockingbird, y que si bien ha sido común, no es exclusivo de este tipo de ataque.

La compañía de seguridad añadió que, luego de que la amenaza explota dicha vulnerabilidad, «se cargan dos archivos DLL en una aplicación web que se ejecuta en un servidor web Windows II».

Distribuidor de XMRIG en redes empresariales

Red Canary comunicó que la principal carga útil que se distribuye como DLL a través de los ataques de Blue Mockingbird es una versión del minero web de Monero XMRIG, el cual señalaron que es «una popular herramienta de minería de código abierto de Monero que los adversarios pueden compilar fácilmente en herramientas personalizadas».

Desde Red Canary determinaron que la carga útil era el minero XMRIG basándose en diversas pruebas. Entre ellas, mencionaron que cada DLL contenía una sección binaria «que parece exclusiva de las cargas útiles de minería de criptomonedas porque contiene el algoritmo de prueba de trabajo RandomX que XMRIG puede usar».

Asimismo, Red Canary indicó que se encontraron con diversas referencias a «xmrig» y sus números de versión en las cadenas binarias, así como también otras palabras presentes en líneas de comando del minero XMRIG, como: coin, donate-level, max-cpu-usage, cpu-priority y log-file.

Cabe destacar que la compañía notó tres formas de ejecución de esta herramienta de minería: el primer caso reportado fue la ejecución de una llamada explícita a la exportación de DLL, la cual señalaron que parecía exclusiva de este tipo de carga útil; la segunda fue usando la opción de línea de comandos; y la tercera forma de ejecución fue «la carga configurada como una DLL de servicio de Windows», reportó Red Canary.

De forma similar a otros ataques de malware que extraen criptoactivos sin consentimiento de los usuarios, Blue Mockingbird también se mueve de forma lateral en redes empresariales, distribuyendo los programas de minería dentro de organizaciones:

«Observamos que Blue Mockingbird se movía lateralmente usando una combinación del Protocolo de escritorio remoto para acceder a sistemas privilegiados y el Explorador de Windows para luego distribuir las cargas útiles a los sistemas remotos ( T1021.001 Protocolo de escritorio remoto , T1021.002 SMB / Windows Admin Shares ). En algunos casos, las tareas programadas se crearon de forma remota schtasks.exe /Spara garantizar la ejecución». Red Canary.

La compañía de seguridad explicó que hasta ahora han identificado dos direcciones de Monero utilizadas por Blue Mockingbird, e indicaron que están activas. Por tratarse de Monero, la compañía reportó que no pudo determinar el saldo de dichas direcciones

«Cada carga viene compilada con una lista estándar de dominios de minería de Monero comúnmente utilizados junto con una dirección de billetera de Monero. Hasta ahora, hemos identificado dos direcciones de billetera utilizadas por Blue Mockingbird que están en circulación activa. Debido a la naturaleza privada de Monero, no podemos ver el saldo de estas billeteras para estimar su éxito». Red Canary.

De forma semejante, en octubre del año pasado el proveedor de productos de ciberseguridad Cyberbit reportó que más del 50% de todos los sistemas informáticos de un aeropuerto internacional en Europa (cuyo nombre y ubicación exacta no se revelaron) fueron infectados por un malware de minería de Monero. El descubrimiento ocurrió cuando la compañía instalaba uno de sus productos de ciberseguridad en dicho aeropuerto.

Imagen destacada por Gerd Altmann/ pixabay.com

Emily Faria
Ingeniera civil. Estudiante de Maestría en Ingeniería Ambiental. Bitcoiner. Con Bitcoin he aprendido mucho acerca del dinero y la privacidad en la era digital, así como también del movimiento cypherpunk. Sueño con un mundo donde se respeten la vida, la libertad individual y la propiedad privada; donde existan economías libres, descentralizadas y prósperas.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

- Publicidad -

Most Popular

¿Qué es un STO? Entiende que es una Oferta de Token de Seguridad

Con la Tecnología Blockchain y las criptomonedas han surgido un número importante de nuevos términos que son necesarios para conseguir comprender cómo...

¿Qué es NANO? Toda la información sobre esta blockchain y criptomoneda

¿Qué es NANO? NANO es una plataforma blockchain y criptomoneda que permite realizar transacciones sin coste, virtualmente directas y su escalabilidad es infinita. Además, no...

¿Cómo comprar Monero (XMR) en 2020? Todo lo que necesitar saber

¿Qué es Monero (XMR)? Monero es un proyecto blockchain que se enfoca en ofrecer "transacciones privadas y...

Protocolo MimbleWimble: un poco de magia no haría mal a Bitcoin

Si pensabas que Harry Potter y Bitcoin tenían muy poco que ver, pues, nada más lejos de la realidad. Están unidos por el hechizo...

¿Qué es Localbitcoins? Una plataforma de negociación directa

Como hemos comentado en artículos anteriores, los exchange de criptomonedas son plataformas que nos facilitan la 'faena' a la hora de comprar o vender...
- Publicidad -