Global Preloader
Noticia Internacional
(10/Jan/2018) Monero Miner envía criptomoneda a la Universidad de Corea del Norte

Monero Miner envía criptomoneda a la Universidad de Corea del Norte

Se descubrió que una aplicación compilada hace unas semanas era un instalador para un minero de Monero diseñado para enviar la moneda extraída a una universidad de Corea del Norte.

Sin embargo, los desarrolladores de la aplicación podrían no ser de origen norcoreano, dicen los investigadores de seguridad. También sugieren que la herramienta podría ser solo una aplicación experimental o podría intentar engañar a los investigadores conectándose con la Universidad Kim Il Sung en Pyongyang, Corea del Norte.

Una vez que se ejecuta el instalador descubierto, copia un archivo denominado intelservice.exe en el sistema, que a menudo se asocia con malware de minería de cifrado. Los argumentos con los que se ejecuta el archivo revelan que se trata de un programa llamado xmrig, un programa ya asociado a amplias campañas que explotan servidores IIS sin parchear para minar Monero.

El análisis del archivo reveló tanto la dirección de la billetera Monero como la contraseña (KJU, posible referencia a Kim Jong-un) que usa, así como el hecho de que envía la moneda extraída al servidor barjuok.ryongnamsan.edu.kp servidor. El uso de este dominio revela que el servidor está ubicado en la Universidad Kim Il Sung, dice AlienVault.

Los investigadores de seguridad de AlienVault también descubrieron que la dirección especificada no se resuelve, ya sea porque la aplicación fue diseñada para ejecutarse en la red de la universidad, porque la dirección solía resolverse en el pasado, o porque solo intenta engañar a los investigadores de seguridad.

"No está claro si estamos ante una prueba temprana de un ataque, o parte de una operación minera 'legítima' en la que los propietarios del hardware están al tanto de la extracción", dice AlienVault.

También se encontró que la muestra contenía mensajes obvios impresos para la depuración, así como nombres de archivos falsos destinados a evitar la detección. Según los investigadores, si el autor del software se encuentra en la Universidad Kim Il Sung, es posible que no sean norcoreanos.

"KSU es una Universidad inusualmente abierta, y tiene una cantidad de estudiantes y profesores extranjeros", explican los investigadores.

Los ataques de Corea del Norte centrados en la minería de Monero han sido detectados anteriormente, como los asociados con piratas informáticos Bluenorroff y Andariel, que generalmente se consideran parte del grupo Lazarus. Sin embargo, AlienVault no ha descubierto pruebas para vincular el instalador recién encontrado con los ataques anteriores.

"Los atacantes de Lazarus tienen desarrolladores capaces y crean su propio malware desde una biblioteca de código de bajo nivel. Dado el uso amateur de la programación de Visual Basic en el Instalador que analizamos, es poco probable que el autor sea parte de Lazarus. Como el servidor de minería está ubicado en una universidad, podemos estar mirando un proyecto universitario ".

Por otro lado, con el país afectado por las sanciones, las criptomonedas podrían ser fácilmente recursos muy valiosos , y el interés de una universidad norcoreana en el área no sería sorprendente.

De hecho, la Universidad de Ciencia y Tecnología de Pyongyang invitó recientemente a expertos extranjeros a dar conferencias sobre criptomonedas, y el instalador recientemente descubierto podría ser un producto de sus esfuerzos, sugiere AlienVault.