El malware ejecuta
svchost.exe (proceso del sistema) y lo injecta de código malicioso. Le atribuye credenciales de
proceso crítico de sistema, por lo que si el usuario finaliza el proceso del malware, el sistema entero crashea y se reinicia.
El cryptomining crea de hecho
dos procesos svchost.exe, uno para minar y otro para estar constantemente escaneando el sistema en busca de Avast o Kaspersky, conocidos y poderosos antivirus para Windows. Si los encuentra instalados en el sistema, automáticamente
cierra y elimina todo proceso para evitar una confrontación directa. El verdadero guerrero es el que sabe cuando pelear y cuando huir jeje. Algo interesante es que si encuentra otro antivirus activo que no sea los mencionados,
finaliza los procesos de tales antivirus y los desactiva para poder ejecutarse sin problema.
En tres días, este malware minero consiguió alrededor de 30 mil dólares abusando de sus capacidades de utilizar el hardware de sus víctimas para minar criptomonedas, en especial "Monero".
Herramientas que podrían haber ayudado en este ataque:
- OSArmor, poderoso complemento que detectaría la inyección sobre svchost.exe
- Firewall bi-direccional que detectaría y bloquearía la comunicación del minero con su servidor malicioso
- Un antivirus con Behaviour Blocker/Análisis de comportamiento que detectaría la condición de hollowing process de svchost.exe
Un gran saludo y permanezcan seguros.
