ZombieBoy, nuevo malware de minado de criptomonedas

---

ZombieBoy, nuevo malware de minado de criptomonedas



ZombieBoy, como lo ha bautizado el analista de seguridad James Quinn, es una nueva familia de malware de minado de criptomonedas que utiliza la capacidad de procesamiento de tu ordenador para obtener Moneros.

ZombieBoy tiene características de gusano, valiéndose de WinEggDrop para buscar nuevos hosts y propagarse. Para infectar a la víctima el virus utiliza la herramienta que le da nombre: "ZombieBoyTools". Esta herramienta aprovecha dos conocidos exploits, EternalBlue y DoublePulsar para instalar la DLL maliciosa en la máquina de la víctima.





Captura de la herramienta ZombieBoyTools. Fuente: http://www.alienvault.com





Una vez instalada la DLL en la máquina, se descarga y ejecuta el binario "123.exe" desde caposthashorg:443. Este se encargará de descargar el resto de componentes del malware:

"64.exe", además de estar encriptado con el packet "Themida" implementa algunas técnicas de evasión bastante sofisticadas. Se encarga de la propagación del virus y de ejecutar el miner (XMRIG), para ello utiliza "WinEggDrop" un escaner TCP que buscará víctimas potenciales contra las que ejecutar el exploit DoublePulsar. Adicionalmente "64.exe" utiliza el software XMRIG para minar Monero y enviarlo a las direcciones:



42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw

49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ





El otro componente descargado tiene el nombre de "74.exe". Se encarga de descargar y ejecutar la DLL "NetSyst96.dll", heredada del RAT "Gh0stRat", permitirá al administrador del malware realizar algunas acciones sobre la máquina infectada de forma remota, como capturar la pantalla, grabar sonidos o alterar el portapapeles de la víctima.



"84.exe" es otro de los módulos droppeados por "123.exe". Al igual que "74.exe" es un RAT utilizado para extraer información adicional sobre la víctima: SO utilizado, velocidad de la CPU o antivirus instalados. Además añade una entrada al registro que sirve para comprobar si el malware se está ejecutando por primera vez.

Flujo de actividad. Fuente: http://www.alienvault.com





Para comprobar si está infectado por ZombieBoy puede buscar si alguno de los binarios implicados se encuentra entre sus procesos:



123.exe

64.exe

74.exe

84.exe

CPUinfo.exe

N.exe

S.exe

Svchost.exe (OJO, siempre que no provenga de C:\Windows\System32)





Si es así debería detener estos procesos y borrar los ficheros implicados, así como las entradas al registro introducidas por el virus.



Entradas de registro maliciosas:



SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf

SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc

Ficheros descargados por el malware:

C:\%WindowsDirectory%\sys.exe

C:\windows\%system%\boy.exe

C:\windows\IIS\cpuinfo.exe

C:\Program Files(x86)\svchost.exe

C:\Program Files\AppPatch\mysqld.dll

C:\Program Files(x86)\StormII\mssta.exe

C:\Program Files(x86)\StormII\*

C:\Archivos de programa (x86)\svchost.exe

C:\Archivos de programa\AppPatch\mysqld.dll

C:\Archivos de programa (x86)\StormII\mssta.exe

C:\Archivos de programa (x86)\StormII\*





Ver información original al respecto en Fuente:

https://unaaldia.hispasec.com/2018/07/zombieboy-nuevo-malware-de-minado-de.html