Malware Cryptomining ha destronado al ransomware como la principal amenaza cibernética, y como tal, está evolucionando rápidamente. Dicho eso, un investigador de seguridad descubrió un Monero minor basado en Python que usaba exploits de la NSA robados y deshabilitaba las funciones de seguridad.
" En 2016, un grupo autodenominado los corredores de fugas sombra una serie de piratería y de día cero explota herramientas atribuidos a actores amenaza conocidos como el grupo ecuación, que se ha relacionado con la Agencia la seguridad nacional (NSA) Unidad de Acceso de las operaciones de medida", los investigadores Fortinet dijo . después, en abril de 2017, los piratas liberan varios exploits como ETERNALBLUE militarizado y ETERNALROMANCE.
Ambos exploits estaban destinados a las versiones de Windows XP / Vista / 8.1 / 7/10 y Windows Server 2003/2008/2012/2016. Más específicamente, estos exploits se han beneficiado de CVE-2017-0144 y CVE-2017-0145, parcheados con el boletín de seguridad MS17-010.
Aparentemente, el explorador ETERNALBLUE se usa ahora en malware criptogénico como Adylkuzz, Smominru y WannaMine, descubrieron los investigadores. La nueva pieza de malware cryptomining se ha denominado PyRoMine. Los investigadores encontraron malware después de aterrizar en una URL sospechosa que condujo a un archivo zip que contiene un archivo ejecutable con PyInstaller.
Eso es lo que Jasper Manuel de Fortinet compartió en términos de descubrir el nuevo malware:
Llegué al origen de la URL maliciosa hxxp: //212.83.190.122/server/controller.zip donde este malware se puede descargar como un archivo zip. Este archivo contiene un archivo ejecutable compilado con PyInstaller, que es un programa que empaqueta programas escritos en Python en ejecutables independientes. Esto significa que no hay necesidad de instalar Python en la máquina para ejecutar el programa Python.
Para extraer y analizar la secuencia de comandos de Python y los paquetes que utiliza, el investigador utilizó una herramienta PyInstaller dubbedpyi-archive_viewer. Utilizando Pyi-archive_viewer, pudo extraer el archivo principal, "Controlador". »Nombrado
PyRoMine no es el primer cryptominer que utiliza los exploits previamente divulgados de la NSA para ayudar a su distribución más en las computadoras. Cualquier sistema de Windows que no haya aplicado el parche de Microsoft para el exploit es vulnerable al malware PyRoMine y partes similares.
Este malware es una amenaza real no sólo porque utiliza la máquina para criptomoneda minera, pero también abre la máquina de posibles ataques en el futuro, ya que inicia los servicios de RDP y desactiva los servicios de seguridad, el investigador señalado. Los usuarios que no hayan descargado el parche de vulnerabilidad de Microsoft CVE-2017-0144 y CVE-2017-0145 deberán hacerlo tan pronto como sea posible desde aqui
Congratulations @untitledvzla! You have completed some achievement on Steemit and have been rewarded with new badge(s) :
<p dir="auto"><a href="http://steemitboard.com/@untitledvzla" target="_blank" rel="noreferrer noopener" title="This link will take you away from hive.blog" class="external_link"><img src="https://images.hive.blog/768x0/https://steemitimages.com/70x80/http://steemitboard.com/notifications/firstpayout.png" srcset="https://images.hive.blog/768x0/https://steemitimages.com/70x80/http://steemitboard.com/notifications/firstpayout.png 1x, https://images.hive.blog/1536x0/https://steemitimages.com/70x80/http://steemitboard.com/notifications/firstpayout.png 2x" /> You got your First payout <p dir="auto">Click on any badge to view your own Board of Honor on SteemitBoard.<br /> For more information about SteemitBoard, click <a href="https://steemit.com/@steemitboard" target="_blank" rel="noreferrer noopener" title="This link will take you away from hive.blog" class="external_link">here <p dir="auto">If you no longer want to receive notifications, reply to this comment with the word <code>STOP <blockquote> <p dir="auto">Upvote this notification to help all Steemit users. Learn why <a href="https://steemit.com/steemitboard/@steemitboard/http-i-cubeupload-com-7ciqeo-png" target="_blank" rel="noreferrer noopener" title="This link will take you away from hive.blog" class="external_link">here!