24 de enero de 2018

En julio del año 2017 los expertos de la empresa Doctor Web detectaron una vulnerabilidad del día cero en las aplicaciones de servidor Cleverence Mobile SMARTS Server. Los desarrolladores del programa lanzaron una actualización para corregir esta vulnerabilidad, pero la misma sigue siendo usada por los malintencionados para obtener (mining) criptomoneda.

Las aplicaciones de la familia Cleverence Mobile SMARTS Server fueron creadas para la automatización de tiendas, almacenes, varias instituciones y producción. Sirven para funcionar en PCs con Microsoft Windows. A finales de julio del año pasado, los expertos de la empresa Doctor Web detectaron una vulnerabilidad crítica en un componente de Cleverence Mobile SMARTS Server usando la cual los malintencionados obtienen acceso no autorizado a los servidores e instalan en los mismos los troyanos de la familia Trojan.BtcMine que sirven para obtener criptomoneda (mining). Sobre esta vulnerabilidad informamos enseguida a los desarrolladores del software.

Inicialmente los ciberdelincuentes usaban varias versiones del miner detectadas por el antivirus Dr.Web como Trojan.BtcMine.1324, Trojan.BtcMine.1369 y Trojan.BtcMine.1404. Al servidor en el cual funciona el software Cleverence Mobile SMARTS Server, los malintencionados envían una solicitud especial, como resultado de lo cual se ejecuta un comando de esta solicitud. Los hackers usan el comando para crear en el sistema un nuevo usuario con privilegios de administrador y obtienen en su nombre el acceso no autorizado al servidor por protocolo RDP. En algunos casos, con la utilidad Process Hacker los ciberdelincuentes finalizan los procesos de antivirus que funcionan en el servidor. Al obtener acceso al sistema, instalan un troyano miner en el mismo.

Este troyano es una biblioteca dinámica que los ciberdelincuentes guardan en la carpeta temporal y luego inician. El programa nocivo suplanta uno de los servicios de sistema legítimos de Windows y elige una “víctima” por algunas opciones, así mismo, el archivo del servicio original se elimina. Luego el servicio nocivo obtiene algunos privilegios de sistema y marca su proceso como crítico. Luego el troyano guarda en el disco los archivos necesarios para su funcionamiento y empieza a obtener criptomoneda usando los recursos hardware de su servidor infectado.

Aunque los desarrolladores de Cleverence Mobile SMARTS Server lanzaron una actualización que corrige la vulnerabilidad en el software de forma oportuna, muchos administradores de servidores no tienen prisa para instalarla, de los cual aprovechan los ciberdelincuentes. Los ciberdelincuentes siguen instalando los troyanos miners en los servidores hackeados, al modificar sus versiones constantemente. A partir de la segunda mitad de noviembre deо 2017, los malintencionados empezaron a usar un nuevo troyano que siguen mejorando, Este programa nocivo fue llamado Trojan.BtcMine.1978 y sirve para obtener criptomoneda Monero (XMR) y Aeon.

El miner se inicia como un proceso de sistema crítico con un nombre visualizado «Plug-and-Play Service». Al intentar finalizar este proceso, Windows finalizar de forma emergente y visualiza una “pantalla azul de la muerte” (BSOD). Una vez iniciado, Trojan.BtcMine.1978 intenta borrar los servicios de antivirus Dr.Web, Windows Live OneCare, Kaspersky Antivirus, ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security y Windows Defender. Luego el miner busca los procesos de programas antivirus iniciados en el equipo atacado. En caso de haberlo hecho correctamente, descifra, guarda e inicia un controlador usando el cual intenta finalizar estos procesos. El Antivirus Dr.Web detecta y bloquea correctamente el controlador Process Hacker usado por Trojan.BtcMine.1978, — este controlador fue añadido a las bases de virus Dr.Web como utilidad de hackers (hacktool).

Al obtener de su propia configuración un listado de puertos, Trojan.BtcMine.1978 busca un router en su entorno de red. Luego usando el protocolo UPnP redirige el puerto TCP del router a los puertos del listado y se conecta a los mismos esperando una conexión por protocolo HTTP. La configuración necesaria para su funcionamiento el programa nocivo la guarda en el registro de sistema Windows.

En el cuerpo del miner hay un listado de direcciones IP de servidores de control que el mismo comprueba en busca del activo. Luego el troyano configura en el equipo infectado los servidores proxy que se usarán para obtener criptomoneda. Así mismo, Trojan.BtcMine.1978 por comando de los malintencionados inicia el shell PowerShell y redirige su entrada-salida al nodo comprometido del usuario remoto. Esto les permite a los malintencionados ejecutar varios comandos en el servidor remoto.

Al haber realizado estas acciones, el troyano incrusta en todos los procesos iniciados un módulo destinado para obtener criptomoneda. El primer proceso donde este módulo empieza a funcionar se usará para obtener Monero (XMR) y Aeon.

Aunque Trojan.BtcMine.1978 dispone de un mecanismo que permite finalizar de forma emergente los procesos de programas antivirus, nuestros usuarios pueden estar tranquilos porque la autoprotección del Antivirus Dr.Web no permite que el troyano dañe el funcionamiento de los componentes críticos. A los administradores de servidores que usan Cleverence Mobile SMARTS Server los expertos de la empresa Doctor Web les recomiendan instalar las nuevas actualizaciones de seguridad lanzadas por los desarrolladores.

#troyano #mining #criptomoneda