Los investigadores de Cisco Talos se han encontrado con una nueva botnet multimodular diseñada para extraer criptomonedas Monero en hosts infectados.
La botnet, denominada "Prometei", aprovecha varias formas de propagación, como el uso del protocolo SMB de Microsoft Windows, credenciales robadas, psexec, WMI y exploits SMB. Según el equipo de Talos, el autor de la botnet aparentemente conoce la vulnerabilidad reciente de SMBGhost , pero no encontró ninguna evidencia de que esta falla sea explotada por la botnet.
El operador de la botnet también utiliza varias herramientas diseñadas que ayudan a la botnet a aumentar la cantidad de sistemas involucrados en sus operaciones de minería de Monero.
La infección comienza con el archivo botnet principal que se copia de otros sistemas infectados por medio de SMB, usando contraseñas recuperadas por un módulo Mimikatz modificado y exploits como Eternal Blue. La botnet contiene más de 15 módulos ejecutables, todos ellos son descargados y controlados por el módulo principal, que se comunica con el servidor de comando y control. La botnet también intenta recuperar las contraseñas de administrador y luego envía las contraseñas robadas a su servidor C2. Estas contraseñas luego son reutilizadas por otros módulos que intentan obtener acceso a otros sistemas a través de protocolos SMB y RDP.
Según el informe, 15 módulos están organizados en dos ramas funcionales principales, que funcionan de manera bastante independiente. La primera rama está escrita en C ++ y usa un tipo especial de ofuscación para permanecer oculto de los sistemas de detección, mientras que la segunda rama se desarrolla utilizando .NET framework combinado con herramientas disponibles públicamente y software de código abierto, y se usa principalmente para ataques de fuerza bruta a través de protocolos SMB y RDP.
"La comunicación con el servidor C2 se lleva a cabo directamente a través de servidores proxy HTTP, TOR o I2P. En nuestro análisis, solo logramos encontrar el archivo c: \ windows \ dell \ msdtc.exe cuyo propósito principal es enviar solicitudes de proxy sobre TOR al Servidor C2 ", explicaron los investigadores.
"El módulo de botnet principal puede funcionar solo como un troyano de acceso remoto, pero el objetivo principal de este actor es extraer monedas de Monero y posiblemente robar billeteras bitcoin potencialmente protegidas por contraseñas robadas con Mimikatz".
Cisco Talos observó solicitudes de servidores C2 procedentes de varios países, y la mayoría de las solicitudes se enviaron desde sistemas infectados en los EE. UU., Brasil, Turquía, Pakistán, México y Chile.
El equipo de investigación dijo que la botnet comenzó su operación minera en marzo, e incluso la pérdida de uno de sus servidores C2 en junio no frustró sus actividades. La red de bots continúa generando ganancias moderadas para un solo desarrollador, probablemente con sede en Europa del Este, dijo Talos.
"El actor detrás de él también es probablemente su desarrollador. Los TTP indican que podemos estar tratando con un desarrollador profesional, en función de su capacidad para integrar exploits SMB como Eternal Blue y el código de autenticación y el uso de proyectos de código abierto existentes, como Mimikatz y FreeRDP ", continuó el equipo.
"Además de robar poder de cómputo, el comportamiento de las botnets de robar y validar credenciales es preocupante. Aunque solo vimos evidencia de credenciales robadas que se utilizan para propagarse lateralmente, también tienen un valor en los mercados subterráneos y el potencial de daño de perder importantes nombres de usuario administrativos y la contraseña es muy alta. Es por eso que las organizaciones que detectan la presencia de la botnet Prometei en su sistema deben actuar de inmediato para eliminarla y asegurarse de que ninguna de sus credenciales se filtre al servidor de comando y control ".
