¡Por fin! Identificado KingMiner, un problemático malware de cryptojacking

93

Un equipo de investigadores de la firma israelí de ciberseguridad Check Point Software Technologies acaba de identificar al malware de minado de Monero KingMiner, el cual se descubrió inicialmente a mediados de junio de 2018 y que se caracteriza por evadir los métodos de detección gracias a un algoritmo en constante mejora.

KingMiner, el cual se dirige principalmente a los servidores de Windows, es tan evolutivo que dos versiones mejoradas se lanzaron poco después de su descubrimiento. “El atacante emplea varias técnicas de evasión para evitar los métodos de emulación y detección y, como resultado, varios motores de detección han observado tasas de detección significativamente reducidas”, reza el informe, agregando: “Según nuestro análisis de registros de sensores, hay un aumento constante en el número de intentos de ataque de KingMiner”.

KingMiner opera de la siguiente manera: primero descarga y ejecuta el archivo de Windows Scriplet antes de detectar la arquitectura de la CPU de la máquina infectada. Luego descarga un archivo XML, enmascarado como un archivo ZIP. Después de extraer los archivos, crea nuevas claves de registro y ejecuta un archivo XMRig de Monero-mining. Es destacable que el malware detecta y elimina versiones anteriores de sí mismo en la unidad atacada.

Sin embargo, aunque el malware emplea métodos de evasión relativamente simples, como ofuscar y ejecutar solo el archivo ejecutable, esas técnicas parecen disminuir significativamente las tasas de detección.

Los investigadores concluyen que KingMiner es un ejemplo de la evolución del malware de criptojacking que puede eludir los sistemas comunes de detección y emulación. Al implementar técnicas de evasión simples, el atacante puede aumentar la probabilidad de un ataque exitoso. “Predecimos que dichas técnicas de evasión continuarán evolucionando durante 2019 y se convertirán en un componente principal (y más común) en los ataques de Cripto-Mining”, sentenciaron los expertos.

Los comentarios están cerrados.