21 ene. 2014

Los delincuentes apuntan a otras cryptomoneda como #PrimeCoin

Como el Bitcoin, hay otras numerosas crypto monedas que son similares en su naturaleza, incluyendo MasterCoin, ProtoShares, Litecoin, Peercoin, BitBar y muchas más.

Una de estas monedas es PrimeCoin (signo:Ψ ; código: XPM), una crypto moneda Peer-to-peer y de código abierto que implementa un sistema de computación científica con cargas y prueba de trabajo. A diferencia de Bitcoin y otras monedas virtuales, PrimeCoin proporciona una prueba de trabajo que tiene un valor intrínseco: genera una forma especial de cadena de números primos, conocida como "Cunningham chains & bi-twin chains" y tiene importancia real en otras investigaciones matemáticas.

Como otros miners de Crypto-monedas, los de PrimeCoin también se encuentran disponibles y de maneras muy simples. Simplemente pon tu computador a funcionar para encontrar cadenas de números primos y haz dinero.

Obviamente después del éxito de Bitcoin, las crypto-monedas no han pasado desapercibidas para los delincuentes, quienes empezaron a generar malware para los miners de PrimerCoin. El investigador Mehrad Yazdizadeh de Panda Security descubrió recientemente algunos miners maliciosos para PrimeCoin, que se encuentran disponibles para bajar desde páginas web chinas y de Torrent.

Los miners se encuentran escritos en Python y otros lenguajes de Scripting y los delincuentes se valen de varios métodos para infectar los sistemas: por ejemplo: fuerza bruta, escalamiento de privilegios, modificación de tablas SQL,etc...

Estos sistemas una vez infectados pueden pasar a formar parte de una Botnet para realizar futuros ataques. Otra característica interesante de este malware es la habilidad de hostear un servidor SQL mediante XP_cmdshell de MSSQL. "Una vez ejecutado, el malware intenta inyectar un servidor SQL en el cmd.exe, svchost.exe, explorer.exe y procesos similares para esconderse a sí mismo como un RootKit" comenta Mehrad. Los sistemas afectados notaran un alto uso de CPU debido a la infección.

Los análisis posteriores demostraron que el malware crea un proceso llamado “sqlservr.exe” que apunta a otro archivo "primecoin.conf", el cual contiene las credenciales y las IP's del botmaster, para comunicarse.

Incluso si el usuario borra el sqlservr.exe o la carpeta de configuración, se vuelve a crear una y otra vez. Este Malware también es capaz de habilitar la cuenta de "Invitado".

Algunas otras funciones que posee este malware son:
  • Replicarse por sí mismo en el sistema de archivos.
  • Matar el antivirus y los programas de seguridad.
De acuerdo a los reportes de Virus Total actualmente pocos antivirus son capaces de detectarlo.

Traducido por Angel Gottfriedt para Segu-Info
Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!