Een nieuwe vorm van cryptovaluta mining-malware gebruikt een gelekte NSA-exploit om zichzelf te verspreiden naar kwetsbare Windows-computers. Gelijktijdig schakelt deze vorm van malware beveiligingssoftware uit en blijft de besmette computer open voor toekomstige aanvallen.
Deze nieuwe cryptovaluta mining-malware is onlangs ontdekt door onderzoekers van beveiligingsbedrijf Fortinet die het PyRoMine hebben genoemd. Cybercriminelen misbruiken computers om hiermee monero te delven. Het is een Pythonprogramma dat zich verspreidt met behulp van EternalRomance, een gelekte NSA-exploit dat gebruikmaakt van een tot een jaar geleden onbekende SMB-kwetsbaarheid voor zelfverspreiding via netwerken.
Verspreiding
EternalRomance maakte de verspreiding van BadRabbit ransomware mogelijk en is in veel opzichten vergelijkbaar met EternalBlue. Dat een tweede gelekte NSA-exploit was die WannaCry en NotPetya hielp verspreiden. Beide exploits zoeken naar SMB-poorten die open zijn voor het publiek, waardoor ze malware aan netwerken kunnen leveren en computers kunnen infecteren.
Onderzoekers ontdekten dat de malware vanaf een webadres kon worden gedownload als een zip-bestand, in combinatie met een Pyinstaller. De schadelijke code achter PyRoMine lijkt volgens onderzoekers van Fortinet rechtstreeks gekopieerd te zijn van een openbaar gedeelde EternalRomance-implementatie. Nadat de PyRoMine-payload op een computer is terechtgekomen, wordt een VBScript gedownload waarmee Remote Desktop Protocol (RDP) een verbinding mogelijk maakt met behulp van een firewallregel die verkeer op RDP-poort 3389 toestaat.
Extra malware
Door beveiligingssoftware uit te schakelen, kunnen aanvallers mogelijk extra malware aanleveren, wanneer zij in de toekomst overgaan op een andere vorm van cybercrime. De Monero miner wordt geregistreerd als een service met de naam “SmbAgentService” door het bestand “svchost.exe.”
Onderzoekers van Fortinet kwamen deze malware begin april voor het eerst tegen. “Het ziet ernaar uit dat deze nog steeds wordt verbeterd, wat de reden kan zijn waarom de inkomsten momenteel niet erg hoog zijn”, zei Jasper Manuel, veiligheidsonderzoeker bij Fortinet. Momenteel is PyRoMine niet wijdverspreid maar het enorme aantal computers die nog steeds niet zijn gepatcht tegen EternalRomance betekent dat er veel potentiële doelwitten zijn.
18 uur geleden
