Malware ProxyShellMiner Explota Vulnerabilidades para Minería de Criptomonedas

En un nuevo descubrimiento de malware llamado ProxyShellMiner, el malware explota las vulnerabilidades de ProxyShell para instalar mineros de criptomonedas en todo el dominio de Windows para obtener ganancias para los actores de la amenaza.

Para aquellos que no lo saben, ProxyShell es una de las vulnerabilidades de Exchange que Microsoft encontró y corrigió en 2021. Bueno, las tres vulnerabilidades están combinadas; las vulnerabilidades permiten la ejecución remota de código no autorizado y permiten a los actores de la amenaza tomar el control total del servidor de Exchange y dirigirse a otras partes del servidor empresarial.

Ahora, los ataques fueron detectados por Morphisec y los actores de la amenaza abusaron de la vulnerabilidad de ProxyShell que fue rastreada como CVE-2021-34523 para obtener acceso inicial a la red de la organización.

Después de eso, los atacantes despliegan una carga útil de malware NET en la carpeta NETLOGON del controlador de dominio para asegurarse de que todos los dispositivos en la red estén ejecutando el malware.

Leer: Nueva Variante del Troyano Royal Descubierta, Apunta a Máquinas Virtuales VMware ESXi

Para que el malware se active, requiere un parámetro de línea de comando que también funciona como una contraseña para el componente del minero XMRig. ProxyShell utiliza un directorio incrustado, un algoritmo de cifrado XOR y una clave XOR que se descarga de un servidor remoto, mencionó Morphisec.

Además, utiliza un programa C# CSC.exe con parámetros de compilación “InMemory” para ejecutar los siguientes módulos de código incrustados. En la siguiente fase, el malware descarga un archivo llamado “DC_DLL” y ejecuta reflexión NET para extraer el argumento para el programador de tareas, XML y la clave XMRig, y luego el archivo DLL se utiliza para la descifrado de los archivos adicionales.

Leer: Actores de Amenaza Rusos Apuntan a Criptomonedas con Malware Enigma

Además de esto, hay un segundo descargador que establece conexión en la computadora comprometida creando una tarea programada que está configurada en el inicio de sesión del usuario. El segundo descargador se descarga de la ubicación remota junto con otros cuatro archivos.

Después de todo esto, el archivo decide qué navegadores de la computadora inyectada se utilizarán para inyectar el minero en la memoria utilizando un método conocido como “hollowing de proceso” y luego elige un grupo aleatorio de la lista codificada, y el proceso de minería comienza.

La última cosa en esta cadena de ataque es hacer una regla de firewall que bloqueará todo el tráfico saliente, que luego se aplica a cada firewall de Windows, y la razón detrás de esto es hacer que los defensores sean menos propensos a detectar el malware o recibir alguna notificación sobre la posible inyección desde el sistema comprometido.

Para escapar de los programas de seguridad que monitorean el comportamiento de ejecución del proceso, el malware espera al menos 30 segundos después del hollowing del navegador antes de hacer la regla del firewall; es bastante posible que los mineros se comuniquen con su herramienta de minería a través de una puerta trasera que no es monitoreada por el programa de seguridad.

Las empresas de seguridad emiten advertencias de que el efecto del malware va más allá de solo la interrupción de servicios y el sobrecalentamiento de las máquinas. A medida que el actor de la amenaza gana control en la red, los atacantes pueden hacer cualquier cosa, desde el despliegue de puertas traseras hasta la ejecución de código.

Leer: W4SP Stealer Encontrado en el Índice PyPi, Amenazando Monederos Cripto y Contraseñas de Navegadores