Cuidado con PowerGhost, un nuevo malware de minería dirigido a redes corporativas

PowerGhost es capaz de ocultarse en un único sistema en una red y posteriormente extenderse a otros ordenadores y servidores dentro de una organización.

102

Investigadores de la firma Kaspersky Labs han descubierto una nueva forma de malware de minería de criptomonedas dirigida a redes corporativas de todo el mundo, y su nombre es PowerGhost. Este ataque usa una combinación de la interfaz de PowerShell y el exploit EternalBlue para propagarse sin llamar la atención.

Según los reportes, PowerGhost es capaz de ocultarse en un único sistema en una red y posteriormente extenderse a otros ordenadores y servidores dentro de una organización. La escurridiza campaña de malware fue detectada en entornos corporativos de Brasil, Colombia, La India y Turquía, además de en Estados Unidos, Europa Occidental y Rusia (estos últimos tres en menor medida).

La principal dificultad para detectar PowerGhost es, según los investigadores, que el minero no almacena todo su contenido directamente en el disco duro, utilizando múltiples técnicas sin archivo para obtener un punto de apoyo en redes corporativas. Ahora bien, el ataque se produce de manera remota mediante exploits, que luego de permitir la inyección de código a la máquina, permiten que el minero se descargue y se ejecute.

Durante la infección, se ejecuta una secuencia de comandos de PowerShell de una línea que descarga el cuerpo del minero e inmediatamente lo inicia sin escribirlo en el disco duro”, dijeron al respecto los expertos de Kaspersky Labs, añadiendo que, una vez que esto sucede, los hackers pueden lograr que el minero se actualice de forma automática, se propague dentro de la red empresarial, y se inicie el proceso de minería de criptomonedas.

Los hackers pueden obtener a través del malware las claves de las cuentas de usuario en un ordenador local, usarlas para iniciar sesión e intentar propagarse a través de la red corporativa lanzando el script de una línea que descarga el cuerpo del minero mediante Windows Management Instrumentation (WMI).

Visto lo visto, PowerGhost plantea nuevas preocupaciones en relación al software de minería, ya que antes no se había detectado un malware tan fuerte dirigido a redes empresariales. La recomendación que hicieron los expertos fue mantener actualizado el software corporativo en todos los dispositivos y utilizar soluciones de seguridad dedicadas que estén dotadas de componentes de control de aplicaciones, detección de comportamiento y prevención de exploits.

Los comentarios están cerrados.