Rarog: malware para realizar ataques de minado de criptomonedas

Publicado el 7 abril 2018 ¬ 20:22 pmh.mscComentarios desactivados en Rarog: malware para realizar ataques de minado de criptomonedas

El equipo de investigadores de Palo Alto Networks realiza un análisis de Rarog, un troyano de minado de criptomonedas que está creciendo en popularidad debido a su facilidad de uso y versatilidad.

Rarog se empezó a vender en foros underground en junio del 2017. Su precio y su sencillez lo han hecho muy atractivo para delincuentes noveles que quieren realizar ataques de minado de criptomonedas.

Hasta la fecha se ha detectado más de 166.000 infecciones relacionadas con Rarog alrededor de todo el mundo. La mayoría de estas infecciones apuntan a ciudadanos de Filipinas, Rusia e Indonesia.


Mapa de infecciones. Fuente: paloaltonetworks.com

El malware es muy versátil: permite infectar dispositivos USB, configurar distintos programas de minado para distintas criptodivisas, inyectar DLL en la víctima… Además de contar con un panel web donde visualizar información estadística de los ataques y administarlos.

A pesar de esto, no se tiene constancia de ataques muy lucrativos. A lo sumo se ha podido encontrar el equivalente a unos 120 dólares en una de las carteras de un atacante.

Como decíamos, el troyano se puede adquirir en foros ‘underground’ por unos 6000 rublos, que al cambio equivalen a unos 85€.

Foro donde se anuncia el malware

Una vez infectado el sistema, el malware cuenta con varios métodos que permiten controlarlo de forma remota:
/2.0/method/checkConnection – Comprueba el estado de la comunicación con el malware.
/2.0/method/config – Devuelve los parámetros de configuración del malware.
/2.0/method/delay – Devuelve el tiempo de espera después de ejecutar el software de minado.
/2.0/method/error – Devuelve información sobre los mensajes de error mostrados a la víctima.
/2.0/method/get – Devuelve información sobre la ruta del software de minado.
/2.0/method/info – Devuelve el nombre del ejecutable.
/2.0/method/setOnline – Actualiza las estadísticas en el C&C.
/2.0/method/update – Actualiza el malware.
/4.0/method/blacklist – Procesos que pararían las operaciones de minado cuando están en ejecución.
/4.0/method/check – Query remote C2 server to determine if ID exists.
/4.0/method/cores – Devuelve el porcentaje de CPU usado.
/4.0/method/installSuccess – Pide instrucciones al C&C.
/4.0/method/modules – Para cargar módulos adicionales en la víctima.
/4.0/method/threads – Funciones adicionales (Propagación por USB, ejecutables auxiliares, etc.)
Todas estas acciones se pueden llevar a cabo desde el panel de C&C donde además se muestra información estadística sobre los ataques.

Panel C&C. Fuente: paloaltonetworks.com

Los paneles de control descubiertos por el equipo de Palo Alto se encuentran en su mayoría en servidores de Rusia y Alemania.

Aunque Rarog no ha sido muy mediático la tendencia al alza de este tipo de ataques y su facilidad de uso han hecho crecer su popularidad.

Mensaje en el foro de un usuario de Rarog

Algunos IOCs de las últimas muestras encontradas:
f9bd93476d5f486c0296690c08a7eabba8e0a035967e9ad8044909cf87d36888
180910f0e3586d6660d89d33048c9d8ba1714ea95c994ce98c42a81e811085d7
0607f80f1d2ae83e5a5bdd7e871345d8154ae4d194d3269723b5ca7d3f1a8ef4
3e495463f7a13b76dc21ea8475b989b10417e876ca03f50b890edc2106ce31fd
f52f6e2c719f241de37ad01ca4d7adb7dc273b67dfdd1189a32aa87da075d8c0
7041f575e6bfea69ff0b2debc1bb5ea66c0e061c0a749af6014829051e16ce21
5efd0bc2d0bdc6c52da41b022f658d599ec4458080e2935e2a4694273e85db17
57372a5f36bbde6c76644ba41f51eaeaeab9bb533e96921e9c1c21d97c4970a0
bf5e333b94e934add020508b488c7ad8ed2db7c22c28008e160038bf6ae72dc7
399c081d2446454636ebad83f5f5fb519cc084bd0f3fc8714d0dd39947504865
1ae2c0dcba70f94fde9d01e53f1c935b23df629e45536c512250a4dc1f8548c6
16fec36b6f1cd8b4efe67bbad835c45dff38816b9899ba826cf4c841725dcc52
ba8701317a92692cb92e10ac6200c7b9539dcb0b450fcc9c744a56e3809996f0
9ea0ae9cc3de617a09f8145279954eb92e267971971df8b1a7de4fae7e58ef43
2913503ba2322216be1de3e3d34ed5619a731d12c290512eccc88b53a002fe6c
2f86ff04d167d4311c06c77c57f2007e82a9f336754479a65bf217d3abb10587
7d8ff4abe67d4001b0eca4c0e47305cea05ea9d8c97945d1f125f9de94ceec3f

ver información original al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies