ESET elimina la botnet de criptominería VictoryGate


botnet-world-map.png

La firma eslovaca de ciberseguridad ESET anunció hoy que eliminó una crimson de bots de malware que infectó a más de 35,000 computadoras.

Según un comunicado de prensa de ESET publicado hoy, la botnet ha estado activa desde mayo de 2019, y la mayoría de sus víctimas estaban ubicadas en América Latina, y Perú representa más del 90% del complete de víctimas.

Nombrado VictoryGate, ESET dijo que el objetivo principal de la botnet era infectar a las víctimas con malware que extraía la criptomoneda Monero a sus espaldas.

Según el investigador de ESET Alan Warburton, quien investigó la operación VictoryGate, la botnet se controló utilizando un servidor oculto detrás del servicio DNS dinámico sin IP.

Warburton dice que ESET informó y eliminó el servidor de comando y management (C&C) de la botnet y configuró uno falso (llamado sumidero) para monitorear y controlar los hosts infectados.

La compañía ahora está trabajando con miembros de la Fundación Shadowserver para notificar y desinfectar todas las computadoras que se conectan al sumidero. Según los datos de sumidero, entre 2.000 y 3.500 computadoras siguen haciendo ping al servidor C&C del malware para obtener nuevos comandos a diario.

Actividad de sumidero VictoryGate "src =" https://zdnet2.cbsistatic.com/hub/i/2020/04/23/0de5dc6f-84bf-42cd-8b1c-1e1110cec701/image002.png

Actividad de sumidero VictoryGate

Imagen: ESET

La fuente de infección podría ser un lote contaminado de unidades USB

Warburton dice que todavía están investigando el modus operandi de la botnet. Hasta ahora solo han podido descubrir uno de los métodos de distribución de VictoryGate.

«El único vector de propagación que hemos podido confirmar es a través de dispositivos extraíbles. La víctima recibe una unidad USB que en algún momento se conectó a una máquina infectada», dijo Warburton en un comunicado. inmersión técnica profunda hoy.

Después de que el USB malicioso se conecta a la computadora de la víctima, el malware se instala en el dispositivo.

Actualmente, parece que el malware VictoryGate podría haberse instalado en secreto en un lote contaminado de dispositivos de almacenamiento USB que se enviaron dentro de Perú. VictoryGate también contiene un componente que copia el infector USB a los nuevos dispositivos USB conectados a una computadora, ayudando a que se propague a los nuevos dispositivos.

Warburton también dijo que, según la información actualmente disponible, los autores de VictoryGate probablemente habrían fabricado al menos 80 monedas Monero, estimadas hoy en alrededor de $ 6,000.



Enlace a la noticia primary