Malware crea la red de bots Cryptominer utilizando EternalBlue y Mimikatz

Una campaña de malware está atacando activamente a objetivos asiáticos utilizando la hazaña de EternalBlue y aprovechando la ofuscación de scripts basados en PowerShell de Vivir de la Tierra (LotL) para dejar caer troyanos y un monedero en máquinas comprometidas.

Esta campaña de criptojacking fue detectada previamente por el equipo de investigación de Qihoo 360 atacando objetivos chinos durante enero de 2019, y se observó al utilizar las herramientas de código abierto Invoke-SMBClient y PowerDump “para completar el hashing de contraseñas y pasar los ataques hash”.

Como ha descubierto Trend Micro, el malware también ha añadido la vulnerabilidad EternalBlue desarrollada por la NSA, que se utiliza con mucha frecuencia como parte de los ataques de WannaCry (ver aquí y aquí) y de NotPetya ransomware de 2017.

Mientras que la investigación inicial de Trend Micro mostró que el malware sólo atacaba a los ordenadores japoneses, más tarde, los objetivos se trasladaron a otras víctimas, esta vez de Australia, Taiwán, Vietnam, Hong Kong y la India.

Con información de: Bleping Computer.