Una nueva variante de la botnet Satori ha llegado y está afectando a las plataformas de minería Claymore. Su función es reemplazar las credenciales del propietario del dispositivo, con las del atacante. Esto afecta a Ethereum, que como sabemos es una de las criptodivisas más conocidas. De hecho es la segunda que más capitalización tiene hoy en día. Una vez más el mundo de las criptomonedas en el ojo de los ciberdelincuentes.
Botnet Satori
La botnet Satori apareció a principios de diciembre de 2017 y era una versión muy modificada del malware Mirai IoT DDoS. No usó ataques de fuerza bruta para entrar en dispositivos usando credenciales débiles y predeterminadas, como el Mirai original. Pero sí usó el código de exploit para hacerse cargo de los dispositivos que se ejecutan con credenciales fuertes, pero usando un firmware anterior.
La botnet escaneó los puertos 52869 (vulnerabilidad CVE-2014-8361 en dispositivos basados en Realtek SDK) y 37215 (CVE-2017-17215 zero-day en los routers Huawei).
Utilizando solo estos dos exploits, Satori acumuló entre 500.000 y 700.00 bots. Al ver el peligro inmediato, los grupos de seguridad de Internet reaccionaron y se cerraron los servidores de C & C originales de Satori a mediados de diciembre, dos semanas después de su aparición.
Ahora, casi tres semanas después de que la botnet quedara silenciada, los investigadores de Netlab han descubierto una nueva variante de Satori.
Nuevo exploit
Esta nueva versión mantiene los viejos exploits, pero también agrega otro nuevo. El tercer exploit fue una sorpresa total para los investigadores porque no tenía como objetivo IoT ni dispositivos de red, como las cargas útiles anteriores de Satori.
En su lugar, Satori escaneó en busca del puerto 3333 e implementó un código de explotación específico para el software de minería de criptomonedas Claymore.
Netlab no ha publicado detalles sobre el código de explotación para evitar nuevos abusos, pero ha indicado que Satori se enfoca en una vulnerabilidad que afecta la interfaz de administración del software de minería Claymore que permite a los atacantes interactuar con el dispositivo sin necesidad de autenticarse.
Minería de Claymore
El atacante interrumpe y cambia la configuración minera de Claymore a una de las suyas que mina Ethereum, una de las criptomonedas que más ha crecido en las últimas semanas.
Como sabemos, en los últimos tiempos han surgido muchos ataques relacionados con las criptodivisas. Su auge en los últimos meses ha invitado a muchos usuarios a entrar e invertir. Esto también ha hecho que se convierta en un mercado apetecible para los ciberdelincuentes.
La minería oculta también es un tipo de malware que se ha popularizado últimamente. Ya vimos un artículo donde hablábamos de cómo podemos saber si una web está minando criptodivisas mientras navegamos en ella. Es una técnica que en ocasiones es legítima (las páginas avisan de ello) pero en otras muchas ni siquiera los dueños de esos portales están al tanto. Ciberdelincuentes se aprovechan de los equipos de la víctima para minar este tipo de divisas digitales.
Necurs, la botnet más grande del mundo para inflar criptomonedas
La técnica de aumentar precios de una criptomonedas es algo relativamente frecuente en este mercado. Grandes inversores son capaces de hacer que el valor suba o baje, en función de su propia inversión. Cuando un porcentaje importante de una moneda digital está en manos de unos pocos inversores, éstos pueden mover con mayor facilidad su valor. En este artículo vamos a hablar de Necurs, la botnet de spam más grande del mundo que es utilizada para inflar criptodivisas.
La botnet Necurs empuja criptomonedas
Concretamente su función es la de hacer que SwissCoin, una de las muchas criptomonedas que podemos encontrar, aumente artificialmente su valor. La técnica se basa en el envío de grandes cantidades de correos no deseados para aumentar el interés hacia un stock particular. En este caso es para que aumente el valor de esa criptomoneda.
Las personas que hay detrás de esto generalmente compran de antemano acciones o criptomonedas, en este caso, a un precio bajo. Posteriormente, una vez han logrado su objetivo, lo venden a un valor mucho más elevado. Este mayor precio lo logran a través de la campaña de spam.
Necurs es una botnet de spam que se cree que tiene millones de bots. Ha sido conocida por participar en campañas de spam durante años, siendo una de sus principales actividades. Además también se la conoce por difundir el troyano bancario Dridex, y varias familias de ransomware.
Primer caso similar
Lo que ha llamado la atención de varios investigadores de seguridad fue el hecho de que Necurs comenzó a promocionar una criptomoneda esta semana. Ha sido la primera vez que ha promovido una criptodivisa a través de sus campañas de spam.
La criptodivisa objetivo ha sido SwissCoin. Entra en los estándares que hemos comentado: moneda con precio bajo, con poca capitalización y que puede llegar a subir considerablemente su valor en poco tiempo.
Es difícil comprobar si debido a esta botnet ha aumentado o no su valor. Esta semana estamos viendo cómo la gran mayoría de las criptodivisas han bajado bastante su cotización. Además, en el caso de SwissCoin, tuvo un periodo de 50 días en el que no cotizó (hasta el 15 de enero).
Su cotización
Ahora mismo, y según podemos ver en CoinMarketCap, cotiza a 0,004$. Hace justamente un día lo hacía a 0,0027$. Estamos hablando de un precio muy bajo y, como hemos mencionado, puede tener mucha volatilidad. Esto es justo lo que buscan quienes están utilizando Necurs.