PowerGhost, un script PowerShell con funciones avanzadas y capaz de replicarse a otros sistemas

PowerGhost, un script PowerShell con funciones avanzadas y capaz de replicarse a otros sistemas

Adrián Crespo

Aunque la fiebre del minado ha perdido presencia en Internet (o al menos, eso parece) la realidad es que los ciberdelincuentes aún quieren sacar provecho de esto. Han sido muchos los softwares publicados en el último año y medio que permitirían el minado de criptomonedas utilizando los recursos hardware de los usuarios. Extensiones de navegadores web, malware, aplicaciones y así hasta completar un listado muy amplio. En este artículo os traemos el último código detectado: PowerGhost.

Se trata de un script que está programado para ser ejecutado utilizando la PowerShell de los equipos Windows. Esto ya nos permite saber cuál es su objetivo. Salvo raras situaciones, los ciberdelincuentes siempre se han centrado en afectar el mayor número de equipos posible.

Los expertos en seguridad de Kaspersky han tenido la oportunidad de analizar en detalle la actividad de la amenaza. En primer lugar, destacan que se trata de un software que cuenta con la lógica necesaria para asentarse en un sistema. Es decir, no se trata de una pieza de código aislada. Puede conseguir persistencia en el equipo y ejecutarse después de cada reinicio.

Desde Kaspersky indican que en más de una ocasión, se ha podido observar cómo los ciberdelincuentes se sirven de software legítimo para infectar equipos. Al tratarse de programas conocidos por los usuarios, su capacidad para alcanzar un número mayor de sistemas se eleva. Sin embargo, los responsables de PowerGhost han tomado una dirección totalmente opuesta: no se utilizan archivos soporte de otros softwares.

El resultado, una de las amenazas mejor programadas en lo que se refiere a acciones de minado de criptomonedas.

Expansión de PowerGhost

Según indican desde Kaspersky, el punto fuerte de esta amenaza es su expansión a otros equipos desde máquinas ya infectadas. Ya hemos indicado que se trata de uno de los malware de minado mejor programado. Un claro ejemplo es su distribución, basada fundamentalmente en la búsqueda de equipos en la red de área local. Una vez conseguido las credenciales de algún usuario del equipo infectado, se sirve de WMI para replicarse a otro equipo. Llegado a este, el proceso continuará, tal y como ya hemos descrito.

Pero no nos vamos a engañar. Para realizar esta operación, se sirve de vulnerabilidades existentes en el sistema y que no han sido parcheadas. El listado de estas es el siguiente:

  • CVE-2017-0144
  • CVE-2018-8120

Mantenimiento

El malware evoluciona. Eso es algo que debemos tener presente y que sucede desde hace tiempo. Los expertos en seguridad de Kaspersky han comprobado que, pasadas unas horas desde su «instalación» en el sistema, la amenaza busca acceder a Internet y conectar con un servidor de control remoto. Explican que el tráfico es frecuente. Esto solo quiere decir que, o se envía información de forma periódica, o se realizan peticiones en búsqueda de actualizaciones de su código.

Detección y presencia en países

Además de mantener actualizado el sistema operativo Windows de forma correcta, los usuarios deben contar con una herramienta de seguridad activa. La amenaza puede catalogarse utilizando las siguientes definiciones:

  • Exploit.Win32.Generic
  • Trojan.Win32.Generic
  • RiskTool.Win32.BitMiner.gen

En lo que se refiere a presencia en los países, debemos decir que en Europa, por el momento, la penetración es escasa. También es cierto que, la actividad de esta amenaza se limita solo a un par de días. Es probable que durante las próximas semanas, se observen avances de este software de minado de criptomonedas en equipos Windows.