El equipo de investigadores de Palo Alto Networks realiza un análisis de Rarog, un troyano de minado de criptomonedas que está creciendo en popularidad debido a su facilidad de uso y versatilidad.
Rarog se empezó a vender en foros underground en junio del 2017. Su precio y su sencillez lo han hecho muy atractivo para delincuentes noveles que quieren realizar ataques de minado de criptomonedas.
Hasta la fecha se ha detectado más de 166.000 infecciones relacionadas con Rarog alrededor de todo el mundo. La mayoría de estas infecciones apuntan a ciudadanos de Filipinas, Rusia e Indonesia.
Hasta la fecha se ha detectado más de 166.000 infecciones relacionadas con Rarog alrededor de todo el mundo. La mayoría de estas infecciones apuntan a ciudadanos de Filipinas, Rusia e Indonesia.
 |
| Mapa de infecciones. Fuente: paloaltonetworks.com |
El malware es muy versátil: permite infectar dispositivos USB, configurar distintos programas de minado para distintas criptodivisas, inyectar DLL en la víctima… Además de contar con un panel web donde visualizar información estadística de los ataques y administarlos.
A pesar de esto, no se tiene constancia de ataques muy lucrativos. A lo sumo se ha podido encontrar el equivalente a unos 120 dólares en una de las carteras de un atacante.
Como decíamos, el troyano se puede adquirir en foros ‘underground’ por unos 6000 rublos, que al cambio equivalen a unos 85€.
 |
| Foro donde se anuncia el malware |
Una vez infectado el sistema, el malware cuenta con varios métodos que permiten controlarlo de forma remota:
- /2.0/method/checkConnection – Comprueba el estado de la comunicación con el malware.
- /2.0/method/config – Devuelve los parámetros de configuración del malware.
- /2.0/method/delay – Devuelve el tiempo de espera después de ejecutar el software de minado.
- /2.0/method/error – Devuelve información sobre los mensajes de error mostrados a la víctima.
- /2.0/method/get – Devuelve información sobre la ruta del software de minado.
- /2.0/method/info – Devuelve el nombre del ejecutable.
- /2.0/method/setOnline – Actualiza las estadísticas en el C&C.
- /2.0/method/update – Actualiza el malware.
- /4.0/method/blacklist – Procesos que pararían las operaciones de minado cuando están en ejecución.
- /4.0/method/check – Query remote C2 server to determine if ID exists.
- /4.0/method/cores – Devuelve el porcentaje de CPU usado.
- /4.0/method/installSuccess – Pide instrucciones al C&C.
- /4.0/method/modules – Para cargar módulos adicionales en la víctima.
- /4.0/method/threads – Funciones adicionales (Propagación por USB, ejecutables auxiliares, etc.)
Todas estas acciones se pueden llevar a cabo desde el panel de C&C donde además se muestra información estadística sobre los ataques.
 |
| Panel C&C. Fuente: paloaltonetworks.com |
Los paneles de control descubiertos por el equipo de Palo Alto se encuentran en su mayoría en servidores de Rusia y Alemania.
Aunque Rarog no ha sido muy mediático la tendencia al alza de este tipo de ataques y su facilidad de uso han hecho crecer su popularidad.
 |
| Mensaje en el foro de un usuario de Rarog |
Algunos IOCs de las últimas muestras encontradas:
- f9bd93476d5f486c0296690c08a7eabba8e0a035967e9ad8044909cf87d36888
- 180910f0e3586d6660d89d33048c9d8ba1714ea95c994ce98c42a81e811085d7
- 0607f80f1d2ae83e5a5bdd7e871345d8154ae4d194d3269723b5ca7d3f1a8ef4
- 3e495463f7a13b76dc21ea8475b989b10417e876ca03f50b890edc2106ce31fd
- f52f6e2c719f241de37ad01ca4d7adb7dc273b67dfdd1189a32aa87da075d8c0
- 7041f575e6bfea69ff0b2debc1bb5ea66c0e061c0a749af6014829051e16ce21
- 5efd0bc2d0bdc6c52da41b022f658d599ec4458080e2935e2a4694273e85db17
- 57372a5f36bbde6c76644ba41f51eaeaeab9bb533e96921e9c1c21d97c4970a0
- bf5e333b94e934add020508b488c7ad8ed2db7c22c28008e160038bf6ae72dc7
- 399c081d2446454636ebad83f5f5fb519cc084bd0f3fc8714d0dd39947504865
- 1ae2c0dcba70f94fde9d01e53f1c935b23df629e45536c512250a4dc1f8548c6
- 16fec36b6f1cd8b4efe67bbad835c45dff38816b9899ba826cf4c841725dcc52
- ba8701317a92692cb92e10ac6200c7b9539dcb0b450fcc9c744a56e3809996f0
- 9ea0ae9cc3de617a09f8145279954eb92e267971971df8b1a7de4fae7e58ef43
- 2913503ba2322216be1de3e3d34ed5619a731d12c290512eccc88b53a002fe6c
- 2f86ff04d167d4311c06c77c57f2007e82a9f336754479a65bf217d3abb10587
- 7d8ff4abe67d4001b0eca4c0e47305cea05ea9d8c97945d1f125f9de94ceec3f
Más información:
Smoking Out the Rarog Cryptocurrency Mining Trojan:
https://researchcenter.paloaltonetworks.com/2018/04/unit42-smoking-rarog-mining-trojan/
Rarog IOCS
https://github.com/pan-unit42/iocs/tree/master/rarog
https://researchcenter.paloaltonetworks.com/2018/04/unit42-smoking-rarog-mining-trojan/
Rarog IOCS
https://github.com/pan-unit42/iocs/tree/master/rarog
Deja una respuesta