Global Preloader
Noticia Internacional
(30/Apr/2018) PyRoMine: malware que usa un exploit filtrado de la NSA para minar Monero

PyRoMine: malware que usa un exploit filtrado de la NSA para minar Monero

Vivimos tiempos oscuros, donde la minería de criptomonedas a través de extensiones de navegador o el conocido minero basado en Coinhive está desplazando al ransomware como la herramienta predilecta de los "hackers" para generar ingresos. Se ha conocido un nuevo minero basado en el lenguaje de programación Python, y que utiliza los exploits filtrados de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) para obtener ingresos en Monero.

En 2016, el grupo Shadows Brokers filtró varias herramientas de espionaje que utilizaba la NSA, entre ellas herramientas de hackeo y vulnerabilidades zero day. Recientemente el grupo de expertos en seguridad informática de Fortinet detectaron un malware llamado PyroMine, que utiliza el exploit ETERNALROMANCE, revelado por Shadows Brokers y que afecta a los equipos vulnerables con Windows XP, 7, 8.1 10, Windows Server 2003, 2008, 2012 y 2016.

Este malware no es el primero en utilizar un exploit de la NSA para minar criptomonedas. La amenaza principal consiste en que el malware deja los equipos vulnerables a futuros ataques porque inicia los servicios de RDP y deshabilita los servicios de seguridad.

El informe de seguridad advierte:

"Este malware es una amenaza real, ya que no solo utiliza la máquina de extracción de criptomonedas, sino que también abre la equipos a posibles ataques futuros, ya que inicia los servicios RDP y deshabilita los servicios de seguridad"

Los investigadores descubrieron este malware luego de seguir un enlace malicioso que conducía a un archivo comprimido que contenía un archivo ejecutable. Dicho archivo está compilado con Pyinstaller, lo que hace que las víctimas no tengan que instalar el malware para ejecutarlo. Luego, el malware configura el Servicio de Administración Remota de Windows para habilitar la autenticación básica y permitir la transferencia de datos no encriptados, abriendo una brecha para ataques futuros.