Vivimos una época donde la minería de criptomonedas a través de extensiones de navegador o el conocido minero basado en Coinhive está desplazando al ransomware como la herramienta predilecta de los hackers para generar ingresos. Ahora, se ha conocido un nuevo minero basado en el lenguaje de programación Python, y que utiliza los exploits filtrados de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) para obtener ingresos en Monero.
Recordemos que en 2016, el grupo Shadows Brokers filtró varias herramientas de espionaje que utilizaba la NSA, entre ellas herramientas de hackeo y vulnerabilidades de día cero. Pues bien, el grupo de expertos en seguridad informática de Fortinet detectaron un malware llamado PyroMine, que utiliza el exploit ETERNALROMANCE, revelado por Shadows Brokers y que afecta a los ordenadores vulnerables con Windows XP, 7, 8.1 10, Windows Server 2003, 2008, 2012 y 2016.
Según la publicación de Fortinet, este malware no es el primero que utiliza un exploit de la NSA para minar criptomonedas. Ahora bien, la amenaza principal consiste en que el malware deja los ordenadores vulnerables a futuros ataques porque inicia los servicios de RDP y deshabilita los servicios de seguridad. El informe de seguridad revela:
Este malware es una amenaza real, ya que no solo utiliza la máquina de extracción de criptomonedas, sino que también abre la máquina para posibles ataques futuros ya que inicia los servicios RDP y deshabilita los servicios de seguridad (…) FortiGuardLabs espera que el malware básico continuará utilizando los exploits de la NSA para acelerar su capacidad de apuntar a sistemas vulnerables y obtener más ganancias.
Los investigadores descubrieron el malware luego de seguir un enlace malicioso que conducía a un archivo comprimido que contenía un archivo ejecutable. Sin embargo, el archivo está compilado con Pyinstaller, lo que hace que las víctimas no tengan que instalar el malware para ejecutarlo. Luego, el malware configura el Servicio de Administración Remota de Windows para habilitar la autenticación básica y permitir la transferencia de datos no encriptados, abriendo la brecha para posibles ataques futuros.