Autor Tema: Analizando Pyromine: El malware de cryptomining (mineria)  (Leído 296 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Rock Lee

  • Administrador
  • *
  • Mensajes: 811
  • Sexo: Masculino
  • ar
  • Digitalizando tu Mundo
    • Ver Perfil
    • La nueva era del conocimiento
Analizando Pyromine: El malware de cryptomining (mineria)
« el: 26 abril de 2018, 08:45 pm »

Pyromine: El malware cryptomining (mineria) que tambien deshabilita tu antivirus


PyroMine ejecuta un VBScript que habilita el RDP (Remote Desktop Connection que traducido al español es Protocolo de Escritoro Remoto) para agregar una regla al firewall que permita el trafico RDP por el puerto 3389. Lo hace desde hxxp://212.83.190.122/server/agent.vbs (Visiten la página bajo su propio riesgo, www.bombercode.net no se hace responsable de lo que suceda).

también, este malware deshabilita Windows Update y permite la transferencia de informacion no encriptada. Y al deshabilitar tu antivirus le permite descargar el payload mediante RDP, que medante WinSvcMan.exe inyectará svchost.exe y creara el servicio "SMbAgentService".

Para iniciarse en cada reinicio del sistema, crea un autorun "help.bat" y programa una tarea para lanzar el bat. Ya activo, el malware consumirá el poder de tu GPU/CPU para la minería potencial de Monero.

Potenciales herramientas que podrían haber prevenido un ataque similar:
  • Antivirus con protección web/inyección del navegador
  • Firewall bidireccional
  • OSArmor (impediría que un malware ejecute wscript.exe, entre otras cosas)
  • Anti-ejecutable como VoodooShield

Saludos Familia!

Nota: Si deseas el archivo para su testing personal o análisis comentarlo y recuerden virtualizar el entorno además utilizar VPN. Esta publicacion fue gracias a @Gonzalo Mariezcurrena que amablemente permitio lo publicara.