Inicio de zonavirus, antivirus
SATINFO

PowerGhost: malware "fileless" que apunta a sistemas corporativos

msc hotline sat
miércoles, 08 de agosto de 2018

https://4.bp.blogspot.com/-jDH2LsZJvp0/W2lXQjev_fI/AAAAAAAABYg/xCiQ1m141GsiJCplbrb3UZKZBZCdmV9SwCLcBGAs/s640/rce-amd-psp.png" border="0" hspace="10" vspace="10"/>





PowerGhost es un malware "fileless" de minado de criptomonedas que utiliza Powershell y el conocido exploit EternalBlue para propagarse.





Ya hablamos en la Una al día de los malware "sin fichero", que básicamente son un tipo de malware que se instala y se ejecuta en memoria, sin necesidad de escribir datos en el disco duro, dificultando su detección.



Un script Powershell ofuscado es el encargado de descargar el software 'mimikatz' junto con las librerías necesarias y el exploit EternalBlue usado para infectar otras máquinas. Sin necesidad de escribir nada en el disco duro, el script se comunica con el servidor de C&C para actualizarse, extraer información sobre las cuentas de usuario del sistema (contraseñas incluidas) y propagarse a otras máquinas conectadas en red.



PowerGhost utiliza la herramienta Windows Management Instrumentation (WMI) incluida por defecto en el sistema para almacenar los módulos necesarios. Cada 90 minutos, se ejecutará un script Powershell en el que se inyectará el portable con el 'miner', mediante un ataque conocido como 'reflective PE injection'.



Se han encontrado muestras que además del software de minado incluyen herramientas para realizar ataques DDoS, por lo que se sospecha que los atacantes puedan utilizar las máquinas infectadas para ofrecer este tipo de servicio y conseguir un dinero extra.



Como contramedida se recomienda deshabilitar el acceso a WMI o restringirlo a los administradores.







Ver información original al respecto en Fuente:

https://unaaldia.hispasec.com/2018/08/powerghost-malware-fileless-que-apunta.html

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook

© 1998-2018 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto