Este minero de criptomonedas united states tácticas sigilosas y únicas para esconderse de miradas indiscretas


Este malware mutará parcialmente cada 20 minutos para evitar la detección.
El objetivo principal de Dexphot es minar en silencio la criptomoneda y generar ingresos para los atacantes.

Los investigadores han descubierto nuevas técnicas de ofuscación que han descrito como «únicas» en una botnet de minería de criptomonedas activa.

El jueves, la firma de seguridad cibernética ESET dijo el descubrimiento se realizó a través de un examen de la botnet Stantinko, que ha estado activa desde al menos 2012.

Al principio, Stantinko se centró en la entrega de adware principalmente en Rusia y Ucrania. El malware se propagó a través del application pirata como un vector de infección, en el que los descargadores ejecutarían estos archivos solo para implementar también una variedad de computer software espía y molesto en las Personal computer al mismo tiempo.

Los operadores generarían ingresos a través de extensiones de navegador maliciosas incluidas con el software que realizó inyecciones de anuncios y fraude de clics, así como instalar puertas traseras y realizar ataques de fuerza bruta en los sitios net de CMS.

En 2019, los operadores de Stantinko agregaron una nueva criptomoneda módulo minero para generar más ingresos ilícitos y también expandió su grupo de víctimas a Rusia, Ucrania, Bielorrusia y Kazajstán.

El nuevo módulo de minería Monero es de interés, dado que «las técnicas de protección encontradas durante el análisis son más avanzadas que el malware que protegen», dice Vladislav Hrčka.

El analista de malware de ESET agregó que algunas de las técnicas aún no se han «descrito públicamente».

Ver también: La autoridad tributaria HMRC del Reino Unido busca herramientas para rastrear criminales de criptomonedas

Se destacan dos técnicas de ofuscación, la forma en que se ocultan las cadenas y un método llamado ofuscación de flujo de handle.

La primera técnica se basa en cadenas, construidas en memoria, que solo están presentes en la memoria cuando se usan. Según ESET, todas las cadenas integradas en el módulo de criptomonedas no están relacionadas con la funcionalidad true del minero y «sirven como bloques de construcción para construir las cadenas que realmente se usan o no se usan en absoluto».

«Las cadenas utilizadas por el malware se generan en la memoria para evitar la detección basada en archivos y frustrar el análisis», señalan los investigadores.

La ofuscación del flujo de command cambia el flujo de management a una forma que es difícil de leer y la ejecución de órdenes de bloques básicos se considera «impredecible».

Una sola función se divide en bloques y estos bloques se colocan como despachos en una declaración de cambio dentro de un bucle, y cada despacho consta de un bloque básico. Una variable de regulate determina qué bloque debe ejecutarse.

«A todos los bloques básicos se les asigna una ID y la variable de handle siempre tiene la ID del bloque básico», dijeron los investigadores. «Todos los bloques básicos establecen el valor de la variable de regulate en la ID de su sucesor (un bloque básico puede tener múltiples sucesores posibles en ese caso, el sucesor inmediato se puede elegir en una condición)».

Sin embargo, como el código se aplana al nivel del código fuente, las herramientas comunes para eliminar esta ofuscación no funcionarían en el caso de la botnet.

CNET: Elecciones en medio del coronavirus: cómo los funcionarios apuntan a mantener seguros a los votantes

Además, el uso del módulo de la ofuscación de flujo de manage incluye dos bloques de command «de cabeza y cola» que controlan la función. La cabeza decide qué envío debe ejecutarse, mientras que la cola aumenta la variable de control utilizando una constante fija y vuelve a la cabeza o sale del bucle.

El módulo también combina algunos bloques básicos cuando los despachos están conectados. Todo este proceso causa constantemente anomalías en los bucles de aplanamiento, lo que dificulta el análisis.

Además, los actores de la amenaza también han implementado fragmentos de código basura y cadenas inactivas, una forma de evitar que el malware sea detectado como malicioso. También se encontró el código «No hacer nada», que se ejecuta pero no tiene una funcionalidad genuine.

TechRepublic: Coronavirus: lo que los profesionales de negocios necesitan saber

«Los delincuentes detrás de la botnet Stantinko están constantemente mejorando y desarrollando nuevos módulos que a menudo contienen técnicas no estándar e interesantes», dice ESET. A medida que la botnet permanezca activa, es probable que veamos nuevas funcionalidades o técnicas sigilosas en el futuro.

En noticias relacionadas, una nueva campaña de Trickbot descubierta recientemente por Bitdefender también está demostrando un comportamiento nunca antes visto en la búsqueda de propiedad intelectual e información financiera.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia authentic