La botnet 'Prometei' difunde su criptojacker por todo el mundo

Como
Gustó

Fecha:

Una botnet modular de 8 años de antigüedad todavía sigue activa, difundiendo un cryptojacker y un shell web en máquinas distribuidas en múltiples continentes.

"Prometei" se descubrió por primera vez en 2020, pero evidencia posterior sugirió que ha estado circulando desde al menos 2016. En esos años intermedios se extendió a más de 10,000 computadoras en todo el mundo, en países tan diversos como Brasil, Indonesia, Turquía y Alemania, cuya Oficina Federal de Seguridad de la Información lo clasifica como Una amenaza de impacto medio.

“El alcance de Prometei es global debido a su enfoque en vulnerabilidades de software ampliamente utilizadas”, explica Callie Guenther, gerente sénior de investigación de amenazas cibernéticas en Critical Start. “La botnet se propaga a través de configuraciones débiles y sistemas sin parches, y se dirige a regiones con prácticas de ciberseguridad inadecuadas. Las botnets como Prometei normalmente no discriminan por región, sino que buscan el máximo impacto explotando debilidades sistémicas. [En este caso], las organizaciones que utilizan servidores Exchange sin parches o mal configurados corren un riesgo especial”.

Detalles de Trend Micro Cómo se ve un ataque de Prometei: torpe en su infección inicial pero sigiloso después, capaz de explotar vulnerabilidades en una variedad de servicios y sistemas diferentes, y centrado en el cryptojacking pero capaz de más.

Entrada ruidosa en sistemas no deseados

No esperes que una infección inicial de Prometei sea terriblemente sofisticada.

El caso que observó Trend Micro comenzó con una serie de intentos fallidos de inicio de sesión en la red desde dos direcciones IP que aparentemente provenían de Ciudad del Cabo, Sudáfrica, y que se alineaban estrechamente con la infraestructura conocida de Prometei.

Después de su primer inicio de sesión exitoso en una máquina, el malware comenzó a probar una variedad de vulnerabilidades obsoletas que aún podrían estar presentes en el entorno de su objetivo. Por ejemplo, utiliza el código fuente “BlueKeep” error en el Protocolo de escritorio remoto (RDP) —calificado como “crítico” 9.8 sobre 10 en el Sistema de puntuación de vulnerabilidades comunes— para intentar lograr la ejecución remota de código (RCE). Utiliza el aún más antiguo EternalBlue vulnerabilidad que se propaga a través del Bloque de mensajes del servidor (SMB). En los sistemas Windows, intenta con el código de hace 3 años. Inicio de sesión proxy vulnerabilidades de escritura arbitraria de archivos CVE-2021-27065 y CVE-2021-26858, que tienen calificaciones CVSS “altas” de 7.8.

La explotación de vulnerabilidades tan antiguas podría interpretarse como una actitud negligente. Desde otro punto de vista, es una estrategia eficaz para eliminar los sistemas mejor equipados que pertenecen a organizaciones más activas.

“Los principales objetivos son aquellos sistemas que no han recibido o no pueden recibir parches por alguna razón, lo que se traduce en que no están supervisados ​​o se descuidan de los procesos de seguridad normales”, señala Mayuresh Dani, director de investigación de seguridad de Qualys. “Los autores de malware quieren atacar a objetivos fáciles y, en el mundo conectado de hoy, considero que esto es inteligente, como si supieran que sus objetivos se verán afectados por múltiples problemas de seguridad”.

El fuego de Prometei

Una vez que Prometei llega a donde quiere ir, tiene algunos trucos ingeniosos para lograr sus fines. Utiliza un algoritmo de generación de dominios (DGA) para reforzar su infraestructura de comando y control (C2), lo que le permite seguir operando incluso si las víctimas intentan bloquear uno o más de sus dominios. Manipula sistemas específicos para permitir que su tráfico pase a través de firewalls y se ejecuta automáticamente cuando se reinicia el sistema.

Un comando Prometei particularmente útil invoca el protocolo de autenticación WDigest, que almacena las contraseñas en texto simple en la memoria. WDigest suele estar deshabilitado en los sistemas Windows modernos, por lo que Prometei fuerza el uso de esas contraseñas en texto simple, que luego vuelca en una biblioteca de vínculos dinámicos (DLL). Luego, otro comando Prometei configura Windows Defender para que ignore esa DLL en particular, lo que permite que esas contraseñas se filtren sin generar ninguna alarma.

El propósito más obvio de una infección de Prometei parece ser el cryptojacking: usar máquinas infectadas para ayudar a extraer la criptomoneda ultra anónima Monero sin que sus propietarios lo sepan. Pero más allá de eso, descarga y configura un servidor web Apache que funciona como un shell web persistente. El shell web permite a los atacantes cargar más archivos maliciosos y ejecutar comandos arbitrarios.

Como señala Stephen Hilt, investigador senior de amenazas de Trend Micro, las infecciones de botnets a menudo también están asociadas a otros tipos de ataques.

“Siempre considero que los grupos de criptominería son como un canario en una mina de carbón: es un indicador de que probablemente hay algo más en su sistema”, dice. “Si observas Nuestro blog 2021“Estaba LemonDuck, un grupo de ransomware, y [Prometei], todos dentro de las mismas máquinas”.

Hay una parte específica del globo que Prometei no toca.

El servidor C2 de la botnet, basado en Tor, está diseñado específicamente para evitar determinados nodos de salida en algunos países de la ex Unión Soviética. Para garantizar aún más la seguridad de los objetivos en idioma ruso, posee un componente de robo de credenciales que evita deliberadamente afectar a las cuentas etiquetadas como "Invitado" u "Otro usuario" en ruso.

Las variantes más antiguas del malware contenían fragmentos de configuraciones y códigos de idioma en ruso, y el nombre "Prometei" es una traducción de "Prometeo" en varios idiomas eslavos. En el famoso mito, Zeus programa un águila para que ataque el hígado de Prometeo todos los días, pero el hígado persiste tras los reinicios de cada noche.

Artículos relacionados

punto_img

Artículos Recientes

punto_img