Cuando se
llega al delito cibernético uno no necesariamente tiene que ser bueno para tener éxito
como lo demuestra la campaña de criptominería Vivin.

Cisco Talos
Primero encontré muestras de la actividad de Vivin en noviembre de 2019, pero luego
La investigación adicional descubrió que esta actividad minera había estado en curso desde al menos 2017.
El hecho de que permaneció bajo el radar de la industria durante tanto tiempo permitió a sus operadores
extraer miles de dólares en Monero es curioso porque Vivin exhibe
Mala seguridad operacional.

"Vivin hace
un esfuerzo mínimo para ocultar sus acciones, lo que hace que la seguridad operacional sea deficiente
decisiones como publicar la misma dirección de billetera de Monero que se encuentra en nuestro
muestras observables en formularios en línea y redes sociales " Talos
escribió, agregando que las organizaciones deben ser conscientes de los alimentadores inferiores junto con
operaciones más sofisticadas, ya que todavía hay dinero para hacer minería de criptomonedas.

La amenaza
el actor también comete el mismo error de muchas personas cuando se trata de proteger
su seguridad y reutiliza los mismos o similares nombres de usuario para varios en línea
cuentas, incluidos los servicios utilizados en las cadenas de ejecución de la criptominería
malware

El malware
se utiliza una variante de XMRig que está configurada para usar hasta el 80 por ciento de
Poder de procesamiento de la víctima para la minería.

El vivin
la tripulación infecta las computadoras presentando su cryptominer como software pirateado con la esperanza de
atraer a una víctima que busca ahorrar unos cuantos dólares. También se extiende una red muy amplia dando
la noción de que el creador está más interesado en tocar un volumen, en lugar de,
unos cuantos objetivos más lucrativos.

"Mucho de
las muestras se empaquetan como archivos RAR autoextraíbles que extraen e instalan
parece ser el software real y oculta secretamente archivos maliciosos. los
el software pirateado de nuestra ejecución de muestra observada contiene una carga útil de la segunda etapa
que está escrito en AppDataLocalTemp como "setup.exe".
ejecución exitosa, las muestras observadas dejaron caer tanto un JavaScript
("Setup.js") y el archivo VBScript ("dllm.vbs") a la víctima
Carpetas AppDataLocalTemp y WindowsStart MenuProgramsStartup del host "
Talos dijo.

A pesar de Vivin
Aparentemente una actitud poco optimista en opsec, los creadores deben tomar un poco
precauciones Talos encontró una buena cantidad de técnicas de ofuscación y evasión
empleado, incluida la descarga de parte del software pirateado esperado.
Por persistencia, establece el Programador de Windows para crear el trabajo
"Anydesk" para ejecutar la configuración de JavaScript cada 30 minutos.