Unos investigadores han publicado un nuevo informe sobre lo que consideran un botnet de criptominería "persistente" que se esconde detrás de contenido aparentemente inocuo, como imágenes JPEG de Taylor Swift.

El botnet, más conocido como MyKings (alternativamente como DarkCloud o Smominru), ha estado activo desde el 2016, según un comunicado de prensa del 18 de diciembre de Gabor Szappanos en SophosLabs.

Si bien todas las "frutas maduras" en Internet —para usar las frases de Sophos— han sido vulnerables a su ataque durante mucho tiempo, recientemente los actores detrás de MyKings supuestamente han agregado la funcionalidad de bootkit, lo que lo hace aún más resistente a la detección y eliminación efectiva.

USD 3 millones en Monero minados ilícitamente a través de MyKings hasta la fecha

El informe de SophosLabs proporciona una descripción completa de las operaciones del botnet, que Szappanos caracteriza como un "implacablemente redundante [es decir "atacante repetitivo"] que ataca principalmente servicios basados en Windows que alojan sistemas de gestión de bases de datos como MqSQL y MS-SQL, protocolos de red como Telnet e incluso servidores que ejecutan almacenamiento de cámaras CCTV.

El informe señala que los creadores del botnet parecen preferir el uso de software de código abierto u otro de dominio público y están altamente capacitados para personalizar y mejorar el código fuente para insertar componentes personalizados que puedan ejecutar ataques y realizar procesos de actualización automatizados.

El botnet lanza una serie de ataques contra un servidor con el objetivo de entregar un ejecutable de malware, frecuentemente un troyano denominado "Forshare", que se encontró que es la carga útil más común en los servidores infectados.

Forshare se utiliza para garantizar que diferentes criptomineros de Monero (XMR) se ejecuten en el hardware objetivo, y SophosLabs estima que los operadores de botnets han ganado aproximadamente USD 3 millones en Monero hasta la fecha. Esto se traduce en un ingreso actual de alrededor de USD 300 por día, debido a la valoración relativa recientemente más baja de la criptomoneda.

No es lo que parece

Fuente: SophosLabs Uncut Report

En el ejemplo estudiado, una imagen modificada imperceptiblemente de la estrella del pop Taylor Swift, SophosLabs explica que la foto .jpg se había subido a un repositorio público, ocultando dentro de ella un ejecutable que actualizaría automáticamente el botnet cuando se descargara.

La investigación de SophosLabs revela la naturaleza sofisticada del mecanismo de persistencia de MyKings, que se perpetúa a través de procedimientos agresivos de repetición y actualización automática que utilizan múltiples combinaciones de comandos.

“Incluso si la mayoría de los componentes de la red de bots se eliminan de la computadora, los restantes tienen la capacidad de restaurarla a su máxima potencia simplemente actualizándose. Todo esto se organiza utilizando archivos RAR autoextraíbles y archivos por lotes de Windows".

El informe indica que los países con el mayor número de hosts infectados son actualmente China, Taiwán, Rusia, Brasil, Estados Unidos, India y Japón.

Crímenes recientes de Monero

En noviembre, Cointelegraph informó que el software disponible para descargar en el sitio web oficial de Monero, getmonero.org, se vio comprometido brevemente robando criptomonedas y drenando las billeteras de los usuarios.

Ese mismo mes, la firma eslovaca de seguridad de software Eset reveló que los ciberdelincuentes que operaban una red de bots conocida como Stantinko habían estado distribuyendo un módulo de minería de criptomonedas Monero a través de Youtube.

Sigue leyendo: