sábado, 7 de abril de 2018

Rarog: malware para realizar ataques de minado de criptomonedas

El equipo de investigadores de Palo Alto Networks realiza un análisis de Rarog, un troyano de minado de criptomonedas que está creciendo en popularidad debido a su facilidad de uso y versatilidad.


Rarog se empezó a vender en foros underground en junio del 2017. Su precio y su sencillez lo han hecho muy atractivo para delincuentes noveles que quieren realizar ataques de minado de criptomonedas.

Hasta la fecha se ha detectado más de 166.000 infecciones relacionadas con Rarog alrededor de todo el mundo. La mayoría de estas infecciones apuntan a ciudadanos de Filipinas, Rusia e Indonesia.

Mapa de infecciones. Fuente: paloaltonetworks.com

El malware es muy versátil: permite infectar dispositivos USB, configurar distintos programas de minado para distintas criptodivisas, inyectar DLL en la víctima... Además de contar con un panel web donde visualizar información estadística de los ataques y administarlos. 

A pesar de esto, no se tiene constancia de ataques muy lucrativos. A lo sumo se ha podido encontrar el equivalente a unos 120 dólares en una de las carteras de un atacante.


Como decíamos, el troyano se puede adquirir en foros 'underground' por unos 6000 rublos, que al cambio equivalen a unos 85€.

Foro donde se anuncia el malware

Una vez infectado el sistema, el malware cuenta con varios métodos que permiten controlarlo de forma remota:
  • /2.0/method/checkConnection - Comprueba el estado de la comunicación con el malware.
  • /2.0/method/config - Devuelve los parámetros de configuración del malware.
  • /2.0/method/delay - Devuelve el tiempo de espera después de ejecutar el software de minado.
  • /2.0/method/error - Devuelve información sobre los mensajes de error mostrados a la víctima.
  • /2.0/method/get - Devuelve información sobre la ruta del software de minado.
  • /2.0/method/info  - Devuelve el nombre del ejecutable.
  • /2.0/method/setOnline - Actualiza las estadísticas en el C&C.
  • /2.0/method/update - Actualiza el malware.
  • /4.0/method/blacklist - Procesos que pararían las operaciones de minado cuando están en ejecución.
  • /4.0/method/check - Query remote C2 server to determine if ID exists.
  • /4.0/method/cores - Devuelve el porcentaje de CPU usado.
  • /4.0/method/installSuccess - Pide instrucciones al C&C.
  • /4.0/method/modules - Para cargar módulos adicionales en la víctima.
  • /4.0/method/threads - Funciones adicionales (Propagación por USB, ejecutables auxiliares, etc.)
Todas estas acciones se pueden llevar a cabo desde el panel de C&C donde además se muestra información estadística sobre los ataques.

Panel C&C. Fuente: paloaltonetworks.com

Los paneles de control descubiertos por el equipo de Palo Alto se encuentran en su mayoría en servidores de Rusia y Alemania.

Aunque Rarog no ha sido muy mediático la tendencia al alza de este tipo de ataques y su facilidad de uso han hecho crecer su popularidad. 

Mensaje en el foro de un usuario de Rarog

Algunos IOCs de las últimas muestras encontradas:



Francisco Salido
fsalido@hispasec.com

Más información: