Investigadores descubrieron una nueva cepa de minería criptodinámica llamado PyRoMineIoT,
esta vulnera el exploit de ejecución de código remoto EternalRomance vinculado a la NSA para propagarse, el malware actúa
al mismo tiempo como espía para escanear
la maquina infectada y buscar vulnerabilidades de Internet Lot.
El malware PyRoMineloT tiene
prácticamente las mismas características que el PyRoMine, aunque PyRoMineIoT se
encuentra oculto en un sitio web que despliega actualizaciones de seguridad
para navegadores web.
Los investigadores notificaron
que la última variante PyRoMine está alojada en la misma dirección IP 212 [.]
83.190 [.] 122, donde ambas variantes aprovechan la implementación de
EternalRomance que se encuentra en el sitio web de Exploit Database.
PyRoMineloT después de
comprometer un dispositivo, descarga un VBScript ofuscado que trabaja igual que
la variante de PyRoMine pero el código de este, está bien organizado.
Esta nueva versión de malware está
alojada en la misma dirección IP 212.83.190.122 que PyRoMine; donde el archivo
descargado es un ejecutable compilado con PyInstaller que empaqueta programas
escritos en Python en ejecutables independientes.
Las variantes configuran una
cuenta predeterminada con la contraseña P @ ss0rdf0rme y agregan la cuenta a
los grupos locales Administradores, Usuarios de escritorio remoto y Usuarios, luego habilita RDP y agrega
una regla de firewall para permitir el tráfico en el puerto 3389.
La víctima descarga una
actualización falsa como archivos .zip
que contienen un descargador escrito en C
# que obtiene el archivo minero, un malware basado en Python que aprovecha
EternalRomance para propagar el programa de descarga y otros componentes
maliciosos, según el portal se seguridad de Security Affairs.
A su vez, el malware utiliza otro
componente como es el software legítimo ChromePass que permite ver las
credenciales de Chrome.
Los encargados de la investigación
informaron que este desarrollo confirma que los autores de malware están muy
interesados en la minería de criptomonedas, así como en la captura de una
porción del ecosistema de amenazas de IoT.
Fuente: Security
Affairs.