Los cibercriminales atacan versiones antiguas de Windows server, como 2008 y 2012, que ya no reciben actualizaciones de seguridad. Pueden comprometer otros equipos en la red interna aprovechando la vulnerabilidad ZeroLogon y usan un binario en Python para capturar pantallas y enviarlas a Telegram.
Además, leen el portapapeles de la víctima para detectar billeteras virtuales y reemplazarlas por las de los atacantes. Estos accesos permiten ejecutar criptomineros y realizar ataques más complejos.
Los atacantes suelen dirigirse a sectores como construcción y educación, con un enfoque especial en Latinoamérica, especialmente México, Argentina, Colombia y Perú. El proceso de infección comienza con el acceso no autorizado a un servidor de Windows y termina en la ejecución de un archivo en Python que descarga herramientas maliciosas y criptomineros.
Este código malicioso posee características de downloader e infostealer. Por un lado este código malicioso es capaz de escanear la red interna de la víctima y por medio de la explotación de una vulnerabilidad, llamada ZeroLogon, comprometer e instalarse en otros equipos que estén dentro de la red.
A su vez es capaz de descargar en la víctima diferentes herramientas y otros códigos maliciosos para poder lograr realizar su cometido.
Durante el proceso de escaneo de la red interna de la víctima, o durante la ejecución de alguna de las herramientas utilizadas, el código malicioso va recolectando información de estos procesos para enviárselo a los cibercriminales utilizando un canal de Telegram, aprovechando un bot creado para la aplicación mencionada.
A continuación, se detalla la actividad maliciosa que es realizada por este código malicioso cuando se le suministra alguna de estas cadenas
Básicamente los cibercriminales utilizan esta lógica para confirmar si una dirección IP de la red interna de la víctima esta activa o no. Para ello, itera sobre un archivo de texto llamado dump.txt alojado en la misma ruta donde persiste este código malicioso, C:\ProgramaData\Universal_map
, obteniendo direcciones de IP del mismo. Para chequear si una IP está activa utiliza el método ping de la librería ping3 de Python.
En el caso de que la dirección IP este activa, se va a agregar a una lista junto con el nombre del equipo asociado a esa dirección IP y esa lista es enviada, por medio de un bot, hacia un grupo de Telegram controlado por los cibercriminales. A su vez, también envía la dirección IP con la que la víctima sale a internet y el nombre de la ciudad donde se encuentra. Esta información es obtenida a través de una solicitud que hace el código malicioso hacia la siguiente URL legítima: https://ipinfo.io/ip.
Aclaración: el archivo dump.txt es creado durante la ejecución del método explicado a continuación.
En este caso, primero va a ejecutar una rutina encargada de actualizar el código malicioso. Básicamente, el código malicioso se conectaba hacia el servidor 2.57.122[.]159 controlado por los cibercriminales, y obtiene un numero de versión. Luego, ese número es comparado con otro número harcodeado en el código malicioso y si llegan a ser diferentes, el mismo procede a crear archivo batch el cual se va a conectar a la misma dirección IP y va a descargar de la misma la última versión del código malicioso. Finalizada la actualización elimina el archivo batch creado previamente.
Finalizada la parte de actualización, procede a chequear que estén instaladas diferentes herramientas y códigos maliciosos dentro de la misma carpeta donde se ejecuta este código malicioso. En caso de no existir alguna o todas, el código malicioso procede a descargarlas desde la dirección IP mencionada anteriormente.
Podés leer el artículo completo en el siguiente enlace:
Ataque a sistemas Windows para minar criptomonedas y exfiltrar información vía Telegram
Encontrá más información en este artículo de interés:
Ciberseguridad: Desafíos y medidas para las empresas de América Latina
© 2022 - Todos los derechos reservados.