Intel Security Mcafee

Un grupo de investigadores de la firma israelí de ciberseguridad Check Point Software Technologies identificaron al malware al minado de monero KingMiner: caracterizado por evadir los métodos de detección gracias a un algoritmo en contante mejora.

KingMiner es un malware de minado de Monero que se dirige a los servidores de Windows. El malware se descubrió inicialmente a mediados de junio de 2018, y dos versiones mejoradas se lanzaron poco después. Cabe destacar que los investigadores esperan que la cantidad de ataques de KingMiner aumente.

El atacante emplea varias técnicas de evasión para evitar los métodos de emulación y detección y, como resultado, varios motores de detección han observado tasas de detección significativamente reducidas. Según nuestro análisis de registros de sensores, hay un aumento constante en el número de intentos de ataque de KingMiner”, reza el informe.

KingMiner opera de la siguiente manera: primero descarga y ejecuta el archivo de Windows Scriplet antes de detectar la arquitectura de la CPU de la máquina infectada. Luego descarga un archivo XML, enmascarado como un archivo ZIP. Después de extraer los archivos, crea nuevas claves de registro y ejecuta un archivo XMRig de Monero-mining. Es destacable que el malware detecta y elimina versiones anteriores de sí mismo en la unidad atacada.

Sin embargo, aunque el malware emplea métodos de evasión relativamente simples, como ofuscar y ejecutar solo el archivo ejecutable, esas técnicas parecen disminuir significativamente las tasas de detección.

Los investigadores concluyen que KingMiner “es un ejemplo de la evolución del malware” de criptojacking que puede eludir los sistemas comunes de detección y emulación. Al implementar técnicas de evasión simples, el atacante puede aumentar la probabilidad de un ataque exitoso. “Predecimos que dichas técnicas de evasión continuarán evolucionando durante 2019 y se convertirán en un componente principal (y más común) en los ataques de Cripto-Mining”.

Desarrolladores de Monero podrían implementar nuevo algoritmo PoW en octubre

Más en TekCrispy