Investigadores del ESET declararon el pasado jueves que habían eliminado una parte de la red malware VictoryGate de robots informáticos que ponían en riesgo al menos 35.000 sistemas operativos Windows. Los atacantes utilizaban este sistema para obtener criptomonedas Monero.
VictoryGate: una red de malware que afecta a más de 2000 ordenadores
La red de robots, llamada «VictoryGate» habría estado activa desde mayo de 2019 y sus ataques estaban principalmente centrados en américa latina, particularmente Perú, donde se han registrado el 90% de los casos. Los objetivos suelen ser organizaciones tanto de sectores públicos como privados, lo cual incluye instituciones financieras.
La ESET ha informado de que esta red trabajaba con un suministrador de DNS dinámico, servidores C2 y dominios falsos desde los que monitorizaban la actividad de los bots. Se estima que entre 2.000 y 3500 ordenadores infectados se conectaron a los servidores C2 diariamente entre febrero y marzo de este año. Según los investigadores de ESET, VictoryGate se propaga mediante dispositivos como los USB extraíbles, los cuales al conectarse en el ordenador de la víctima instala la carga maliciosa en el sistema operativo. Como añadido el módulo instalado se comunica con el servidor C2 para recibir una carga secundaria que introduce código aleatorio entre los procesos de Windows, como el programa XMRing de minería en la ruta ucsvc.exe.
«Según los datos que hemos obtenido durante el sondeo podemos afirmar que de media unos 2000 dispositivos se utilizaban como fuente de minería al día. Si tomamos una media de 150H/s el resultado nos lleva a suponer que los autores del presente sistema han obtenido al menos 80 unidades Monero (unos 6000$) con el montaje de esta única red. Una de las características más interesantes a cerca de VictoryGate es el esfuerzo por evitar ser detectada. (…) Dado que el gestor puede actualizar la funcionalidad de las descargas de los dispositivos infectados desde programas para minar criptomonedas hasta otro tipo de software, el riesgo presente en la conexión a esta red es bastante elevado.»
-Informe de la ESET
Os recomendamos la lectura de: Mejores teclados para PC.
Con los USB usándose como medio de propagación, la ESET ha puesto en sobre aviso sobre infecciones que pudieran producirse en un futuro. No obstante, con buena parte de la infraestructura C2 hundida los robots no deberían recibir cargas secundarias al conectarse a ella después del contagio de nuestro ordenador. No obstante, aquellos que ya estuviesen comprometidos antes de la actuación de la ESET seguirán minando criptomonedas Monero. Una limpieza con antivirus o incluso formateo se presentan como las mejores opciones.
