Criptominer usa vários métodos de propagação para infetar máquinas Windows e droppar um minerador da Monero.

Um recente malware está a afetar utilizadores do SO Windows. Ele foi detetado pela TrendMicro como “Trojan.PS1.LUDICROUZ.A”.

O minerador usa vários métodos de propagação para infeção, incluindo o EternalBlue, técnicas de abuso de Powershell, pass-the-hash techniques, LOTL techniques (baseado em ferramentas do Windows) e ataques de brute-force como meio para “droppar” um minerador da criptomoeda Monero.

De acordo com a telemetria da Trend Micro, os agentes de ameaça por trás da campanha estão a expandir a botnet para países como Austrália, Taiwan, Vietnã, Hong Kong e Índia.

A principal ténica utilizada de propagação envolve o uso de credenciais fracas para obter acesso ao computador alvo ligado à mesma rede e agenda uma tarefa no SO para executar o malware.

The primary malware propagation involves using the weak credentials to gain access to the computer that connected with the same network. It uses a firewall and port forwarding settings to schedule a task and to execute the malware.

 

Em seguida, o malware usa o método passes the hash para obter os hashes das passwords no sistema operativo através do comando “Get-PassHashes”. Uma vez que ele recolhe essas hashes ele invoca o método “Invoke-SMBClient” como forma de partilhar o ficheiro.

“Once a machine is infected via one of the methods, the malware acquires the MAC address and collects information on the anti-virus products installed in the machine. It downloads another obfuscated PowerShell script from the C&C server,” reads TrendMicro report.

 

O terceiro componente é o spyware, que captura as seguintes informações da máquina infectada:

  • Computer Name
  • Machine’s GUID
  • MAC Address
  • OS Version
  • Graphics Memory Information
  • System Time

 

O quarto componente é o executável binário compilado em Python, que propaga ainda mais o malware. Aqui são exploradas via brute-force a força das palavras-passe SQL, e também valida se a máquina está vulnerável ao EternalBlue.

O quinto passo é descarregar o minerador da Monero que é implantado no sistema através de um processo no Powershell, e que uma vez instalado começa a comunicar com o C2.

crypto-spreader-multiple-lateral-methods_15-executing-the-miner

 

The malware “leverages weak passwords in computer systems and databases, targets legacy software that companies may still be using, uses PowerShell-based scripts with components downloaded and executed in memory, exploits unpatched vulnerabilities, and installs using the Windows startup folder and the task scheduler.”

 

Mais detalhe sobre a investigação aqui.