windows

Ataque a sistemas Windows para minar
criptomonedas y exfiltrar información

Noticias y Novedades

ESET Latinoamérica analizó un código malicioso que afecta a sistemas operativos Windows, detectado como Python/PSW.Agent.BHH

 

Los cibercriminales atacan versiones antiguas de Windows server, como 2008 y 2012, que ya no reciben actualizaciones de seguridad. Pueden comprometer otros equipos en la red interna aprovechando la vulnerabilidad ZeroLogon y usan un binario en Python para capturar pantallas y enviarlas a Telegram.

Además, leen el portapapeles de la víctima para detectar billeteras virtuales y reemplazarlas por las de los atacantes. Estos accesos permiten ejecutar criptomineros y realizar ataques más complejos.

Los atacantes suelen dirigirse a sectores como construcción y educación, con un enfoque especial en Latinoamérica, especialmente México, Argentina, Colombia y Perú. El proceso de infección comienza con el acceso no autorizado a un servidor de Windows y termina en la ejecución de un archivo en Python que descarga herramientas maliciosas y criptomineros.

 

infostealer-diagrama-infeccion-1-
Ilustración 1. Diagrama de infección

 

 

Actividades Maliciosas

 

Este código malicioso posee características de downloader e infostealer. Por un lado este código malicioso es capaz de escanear la red interna de la víctima y por medio de la explotación de una vulnerabilidad, llamada ZeroLogon, comprometer e instalarse en otros equipos que estén dentro de la red.

A su vez es capaz de descargar en la víctima diferentes herramientas y otros códigos maliciosos para poder lograr realizar su cometido.

Durante el proceso de escaneo de la red interna de la víctima, o durante la ejecución de alguna de las herramientas utilizadas, el código malicioso va recolectando información de estos procesos para enviárselo a los cibercriminales utilizando un canal de Telegram, aprovechando un bot creado para la aplicación mencionada.

Acceso inicial

 

La amenaza afecta a sus víctimas mediante la explotación de vulnerabilidades conocidas. Estas vulnerabilidades pueden tener exploits alojados en repositorios públicos o ser objeto de ataques de fuerza bruta.

Esta suposición se basa en las detecciones observadas en los sistemas de telemetría de ESET, relacionadas con la vulnerabilidad EternalBlue y la CVE-2021-31166. Al analizar sitios como Shodan y Censys, se identificaron servidores afectados que tenían servicios sensibles expuestos, como los puertos 88 (Kerberos), 389 (LDAP), 445 (SMB) y 3389 (RDP).

Si los cibercriminales aprovechan estos servicios, pueden llevar a cabo ataques de fuerza bruta o explotar vulnerabilidades. Esto les permite acceder sin autorización al servidor de la víctima y comprometerlo mediante la ejecución de comandos o la instalación de código malicioso adicional.

Una vez dentro, los cibercriminales descargan y ejecutan el código malicioso Python/PSW.Agent.BHH. A continuación, se detalla su comportamiento.

Este código malicioso es un binario diseñado específicamente para sistemas Windows y programado en Python. Puede descargar y ejecutar herramientas o códigos maliciosos desde un servidor controlado por los atacantes. También escanea la red de la víctima en busca de otros equipos activos y explota vulnerabilidades conocidas, recibiendo actualizaciones desde el servidor de comando y control.

El análisis de la muestra 1D3BB7A9F5F9E59C93A4B3A2D52BC7964AE99326 reveló que este código malicioso requiere como argumento alguna de las siguientes cadenas:

– ping_s

– zero

– rych

Dependiendo de la cadena proporcionada, el código malicioso ejecutará acciones específicas. La siguiente captura de pantalla muestra la lógica que los cibercriminales utilizan para ejecutar diferentes acciones según la cadena suministrada.

 

infostealer-logica-codigo-2-
Ilustración 2. Lógica empleada por el código malicioso para ejecutar acciones con base en un argumento.

A continuación, se detalla la actividad maliciosa que es realizada por este código malicioso cuando se le suministra alguna de estas cadenas

1) ping_s

Básicamente los cibercriminales utilizan esta lógica para confirmar si una dirección IP de la red interna de la víctima esta activa o no. Para ello, itera sobre un archivo de texto llamado dump.txt alojado en la misma ruta donde persiste este código malicioso, C:\ProgramaData\Universal_map, obteniendo direcciones de IP del mismo. Para chequear si una IP está activa utiliza el método ping de la librería ping3 de Python.

En el caso de que la dirección IP este activa, se va a agregar a una lista junto con el nombre del equipo asociado a esa dirección IP y esa lista es enviada, por medio de un bot, hacia un grupo de Telegram controlado por los cibercriminales. A su vez, también envía la dirección IP con la que la víctima sale a internet y el nombre de la ciudad donde se encuentra. Esta información es obtenida a través de una solicitud que hace el código malicioso hacia la siguiente URL legítima: https://ipinfo.io/ip.

Aclaración: el archivo dump.txt es creado durante la ejecución del método explicado a continuación.

2) zero

En este caso, primero va a ejecutar una rutina encargada de actualizar el código malicioso. Básicamente, el código malicioso se conectaba hacia el servidor 2.57.122[.]159 controlado por los cibercriminales, y obtiene un numero de versión. Luego, ese número es comparado con otro número harcodeado en el código malicioso y si llegan a ser diferentes, el mismo procede a crear archivo batch el cual se va a conectar a la misma dirección IP y va a descargar de la misma la última versión del código malicioso. Finalizada la actualización elimina el archivo batch creado previamente.

Finalizada la parte de actualización, procede a chequear que estén instaladas diferentes herramientas y códigos maliciosos dentro de la misma carpeta donde se ejecuta este código malicioso. En caso de no existir alguna o todas, el código malicioso procede a descargarlas desde la dirección IP mencionada anteriormente.

 

Podés leer el artículo completo en el siguiente enlace:

Ataque a sistemas Windows para minar criptomonedas y exfiltrar información vía Telegram

 

Encontrá más información en este artículo de interés:

Ciberseguridad: Desafíos y medidas para las empresas de América Latina

×