Los investigadores de Cisco Talos se han encontrado con una nueva botnet multimodular diseƱada para extraer criptomonedas Monero en hosts infectados.
La botnet, denominada "Prometei", aprovecha varias formas de propagaciĆ³n, como el uso del protocolo SMB de Microsoft Windows, credenciales robadas, psexec, WMI y exploits SMB. SegĆŗn el equipo de Talos, el autor de la botnet aparentemente conoce la vulnerabilidad reciente de SMBGhost , pero no encontrĆ³ ninguna evidencia de que esta falla sea explotada por la botnet.
El operador de la botnet tambiĆ©n utiliza varias herramientas diseƱadas que ayudan a la botnet a aumentar la cantidad de sistemas involucrados en sus operaciones de minerĆa de Monero.
La infecciĆ³n comienza con el archivo botnet principal que se copia de otros sistemas infectados por medio de SMB, usando contraseƱas recuperadas por un mĆ³dulo Mimikatz modificado y exploits como Eternal Blue. La botnet contiene mĆ”s de 15 mĆ³dulos ejecutables, todos ellos son descargados y controlados por el mĆ³dulo principal, que se comunica con el servidor de comando y control. La botnet tambiĆ©n intenta recuperar las contraseƱas de administrador y luego envĆa las contraseƱas robadas a su servidor C2. Estas contraseƱas luego son reutilizadas por otros mĆ³dulos que intentan obtener acceso a otros sistemas a travĆ©s de protocolos SMB y RDP.
SegĆŗn el informe, 15 mĆ³dulos estĆ”n organizados en dos ramas funcionales principales, que funcionan de manera bastante independiente. La primera rama estĆ” escrita en C ++ y usa un tipo especial de ofuscaciĆ³n para permanecer oculto de los sistemas de detecciĆ³n, mientras que la segunda rama se desarrolla utilizando .NET framework combinado con herramientas disponibles pĆŗblicamente y software de cĆ³digo abierto, y se usa principalmente para ataques de fuerza bruta a travĆ©s de protocolos SMB y RDP.
"La comunicaciĆ³n con el servidor C2 se lleva a cabo directamente a travĆ©s de servidores proxy HTTP, TOR o I2P. En nuestro anĆ”lisis, solo logramos encontrar el archivo c: \ windows \ dell \ msdtc.exe cuyo propĆ³sito principal es enviar solicitudes de proxy sobre TOR al Servidor C2 ", explicaron los investigadores.
"El mĆ³dulo de botnet principal puede funcionar solo como un troyano de acceso remoto, pero el objetivo principal de este actor es extraer monedas de Monero y posiblemente robar billeteras bitcoin potencialmente protegidas por contraseƱas robadas con Mimikatz".
Cisco Talos observĆ³ solicitudes de servidores C2 procedentes de varios paĆses, y la mayorĆa de las solicitudes se enviaron desde sistemas infectados en los EE. UU., Brasil, TurquĆa, PakistĆ”n, MĆ©xico y Chile.
El equipo de investigaciĆ³n dijo que la botnet comenzĆ³ su operaciĆ³n minera en marzo, e incluso la pĆ©rdida de uno de sus servidores C2 en junio no frustrĆ³ sus actividades. La red de bots continĆŗa generando ganancias moderadas para un solo desarrollador, probablemente con sede en Europa del Este, dijo Talos.
"El actor detrĆ”s de Ć©l tambiĆ©n es probablemente su desarrollador. Los TTP indican que podemos estar tratando con un desarrollador profesional, en funciĆ³n de su capacidad para integrar exploits SMB como Eternal Blue y el cĆ³digo de autenticaciĆ³n y el uso de proyectos de cĆ³digo abierto existentes, como Mimikatz y FreeRDP ", continuĆ³ el equipo.
"AdemĆ”s de robar poder de cĆ³mputo, el comportamiento de las botnets de robar y validar credenciales es preocupante. Aunque solo vimos evidencia de credenciales robadas que se utilizan para propagarse lateralmente, tambiĆ©n tienen un valor en los mercados subterrĆ”neos y el potencial de daƱo de perder importantes nombres de usuario administrativos y la contraseƱa es muy alta. Es por eso que las organizaciones que detectan la presencia de la botnet Prometei en su sistema deben actuar de inmediato para eliminarla y asegurarse de que ninguna de sus credenciales se filtre al servidor de comando y control ".
