Software malicioso para Bitcoins | Cómo proceder para proteger la moneda digital

Software malicioso para Bitcoins | Cómo proceder para proteger la moneda digital

Sello de tiempo: 16 de enero de 2013 2:46 p.m.

Software malicioso para Bitcoins | Cómo proceder para proteger la moneda digital PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai. Tiempo de leer: 4 minutos

El dinero electrónico (dinero electrónico) está siendo utilizado cada vez más por las personas para realizar compras en línea. Y seguro que como la noche sigue al día, esto significa que el dinero electrónico también está llamando la atención de el malware autores que intentan beneficiarse de él por cualquier medio posible. Encontramos una muestra maliciosa, cuyo papel no es robar sino generar (para 'minar') moneda digital utilizando un 'grupo de minería' de Bitcoin (una red computacional distribuida para generar 'Bitcoins'). El ataque se ejecuta instalando un programa de caballo de Troya en una red de computadoras víctimas y luego usa su poder de procesamiento para generar bloques de Bitcoin.

Entonces, ¿qué es Bitcoin y cómo funciona? Bueno, a diferencia de la moneda tradicional, que se genera a través de una autoridad central como un banco emisor, los Bitcoins se generan dinámicamente cuando sea necesario a través de una red descentralizada de nodos punto a punto, o 'mineros'. Cada 'minero' es un conjunto de recursos informáticos (a veces solo una computadora normal como la de su escritorio) que se ha dedicado a lidiar con las transacciones de Bitcoin. Una vez que ha habido suficientes de estas transacciones, se agrupan en un 'bloque', y este bloque adicional de transacciones se agrega a la 'cadena de bloque' maestra que se mantiene en toda la red de Bitcoin. La cuestión clave a tener en cuenta aquí es que el proceso de producción de un 'bloque' requiere mucho hardware y requiere una gran cantidad de potencia informática. Por lo tanto, a cambio de ofrecer voluntariamente su hardware, los mineros que logran generar un bloque son recompensados ​​con una recompensa de Bitcoins y se les otorga cualquier tarifa de transacción de ese bloque. Este sistema de otorgar recompensas a los mineros es en realidad también el mecanismo por el cual se incrementa la oferta de dinero de Bitcoin.

Como se mencionó, las demandas computacionales de producir un bloque son muy altas, por lo que cuanto más poder de procesamiento pueda usar una entidad, más transacciones pueden manejar y más Bitcoins pueden recibir. ¿Y qué mejor fuente de poder computacional para un pirata informático que su propia red de PC zombies que implacablemente realizan transacciones de Bitcoin?

El troyano que instala los componentes de minería tiene un tamaño de 80 KB y, una vez ejecutado, descifra en la memoria un archivo PE ubicado en el .code sección, a 0x9400, tamaño 0xAA00. El descifrado es un byte simple XOR, con 20 claves de bytes sucesivas ubicadas en .idata sección. Los pasos de instalación son tomados por el nuevo proceso descifrado en memoria que descarga los componentes necesarios y también contiene los parámetros de minería (como las credenciales de usuario y contraseña para el grupo de minería, todos cifrados en recursos).

El archivo encriptado está empaquetado con UPX. Recursos importantes presentes en el archivo:

Recurso cifrado OTR0
código binario malicioso

Contiene parámetros y credenciales para el grupo de minería ("-t 2 -o http://user:password@server.com:port". El parámetro -t representa el número de hilos utilizados para los cálculos. El parámetro -o especifica el servidor al que conectarse.

El descifrado revela la dirección y las credenciales para el servidor del grupo
código binario malicioso

OTR2 - [7C 6E 6C 63 60 76 25 66 7F 68] - nombre del archivo de minería descartado (socket.exe)
OTR8 - [7C 6E 6C 63 60 76 78 2D 62 75 60] - nombre bajo el cual el archivo se copia automáticamente (sockets.exe)
OTR9 - [6F 41 6F 58 45 42 6B 43 47 6D 75 52 46 65 76 51 43] - clave de descifrado para cadenas de recursos cifradas (esto se utilizará para decodificar los parámetros de cadena almacenados como recursos)

El archivo se copia en Mis documentosWindowssockets.exe y ejecuta la copia.

código binario

Después de la ejecución, descarga los siguientes archivos:

- 142.0.36.34/u/main.txt: un binario de minería guardado como "socket.exe", que parece ser una modificación de una aplicación de minería de código abierto conocida.
- 142.0.36.34/u/m.txt: un archivo de texto sin formato que contiene valores hexadecimales de un PE binario se transformará en "miner.dll", una dependencia del anterior.

Código fuente de la página web
Código binario

- 142.0.36.34/u/usft_ext.txt - Un archivo binario, dependencia guardada como "usft_ext.dll".
- 142.0.36.34/u/phatk.txt - Guardado como "phatk.ptx" - instrucciones del ensamblador para GPU, que pueden usarse para cálculos avanzados.
- 142.0.36.34/u/phatk.cl - Guardado como "phatk.cl" - archivo fuente diseñado para cálculos de GPU.

Cuando todas las descargas están completas y las dependencias están en su lugar, el binario de minería se inicia con parámetros decodificados y comienza a hacer cálculos para generar monedas virtuales. Como se predijo, el uso de la CPU aumenta, manteniendo la computadora en una gran carga.

Ejecución de código binario
Ejecución de código binario

El binario malicioso se comunica repetidamente con el servidor del grupo al finalizar los ciclos computacionales y envía los resultados de sus cálculos: las "monedas virtuales".

Troyano cuentagotas
Troyano cuentagotas:
Filename: sockets.exe
SHA1: 52647f52912e81e0351b68e30a3b13fe4501bdda
MD5: ba9c16fa419d24c3eadb74e016ad544f
CIS detection name: TrojWare.Win32.Trojan.CoinMiner.k Minería binaria:
Filename: socket.exe
SHA1: 1da22ddd904dfa0664a50aa6971ad1ff451651ce
MD5: e82cd32fefb2f009c84c14cec1f13624
CIS detection name: Application.Win32.CoinMiner.b

Soluciones ITSM

PRUEBA GRATUITA OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS

Sello de tiempo:

Mas de Ciberseguridad Comodo