Los investigadores de seguridad de la firma Kaspersky Labs han descubierto una nueva forma de malware de minería de criptomonedas dirigida a redes corporativas de todo el mundo, utilizando una combinación de la interfaz de PowerShell y el exploit EternalBlue para propagarse sin llamar la atención.
Su nombre es PowerGhost, y es capaz de ocultarse en un único sistema en una red y posteriormente extenderse a otros ordenadores y servidores dentro de una organización. Esta última campaña de malware fue detectada por Kaspersky en entornos corporativos de Brasil, Colombia, La India y Turquía. Asimismo, se detectó en menor medida el código malicioso en Estados Unidos, Europa Occidental y Rusia.
La principal dificultad para detectar PowerGhost, según los investigadores, es que el minero no almacena todo su contenido directamente en el disco duro, utilizando múltiples técnicas sin archivo para obtener un punto de apoyo en redes corporativas.
Ahora bien, el ataque se produce de manera remota mediante exploits, que luego de permitir la inyección de código a la máquina, permiten que el minero se descargue y se ejecute. En este sentido, los expertos afirman:
Durante la infección, se ejecuta una secuencia de comandos de PowerShell de una línea que descarga el cuerpo del minero e inmediatamente lo inicia sin escribirlo en el disco duro.
Una vez que esto sucede, los hackers pueden lograr que el minero se actualice de forma automática, se propague dentro de la red empresarial y se inicie el proceso de minería de criptomonedas. Los hackers pueden obtener a través del malware las claves de las cuentas de usuario en un ordenador local, usarlas para iniciar sesión e intentar propagarse a través de la red corporativa lanzando el script de una línea que descarga el cuerpo del minero mediante Windows Management Instrumentation (WMI).
Finalmente, la firma aseguró que PowerGhost plantea nuevas preocupaciones en relación al software de minería, ya que antes no se había detectado un malware tan fuerte dirigido a redes empresariales. La recomendación que hicieron los expertos fue mantener actualizado el software corporativo en todos los dispositivos y utilizar soluciones de seguridad dedicadas que estén dotadas de componentes de control de aplicaciones, detección de comportamiento y prevención de exploits.
