PowerGhost, el minador de criptomonedas que se aprovecha de EternalBlue



Recientemente el equipo de Kaspersky detectó un malware al cual apodaron PowerGhost, el cual es capaz de distribuirse en redes corporativas, infectando estaciones de trabajo como servidores.

El objetivo del malware es realizar criptominado, por tanto entre más máquinas logren infectar y más tiempo estén infectadas, mayores serán las ganancias para el atacante. Últimamente se han detectado varias aplicaciones legítimas que han sido vulneradas al inyectarle código de criptominado y así desplegarse en la red sin mayores sospechas de los usuarios, pero los hackers que diseñaron este malware fueron un paso más allá y se aprovecharon de los ataques sin archivo para hacer la distribución del malware y logran infectar la mayor cantidad de equipos posible. Según el estudio de datos y las estadísticas de malware que realiza Kaspersky es que se puede determinar que el uso de Ransomware para ganar dinero de manera ilegal va a la baja y que el malware que se aprovecha del criptominado va a la alza.

Esto puede deberse a que gracias a las campañas de concientización, las víctimas de malware ransomware tienen sus datos en la nube y no necesariamente pagan el rescate, a diferencia de los otros malware que son capaces de estar en el pc de la víctima sin que no haya nada visible que lo delate aparte de detectar el PC más lento de lo normal.

El programa malicioso usa muchas técnicas sin archivos para permanecer oculto para el usuario y no detectado por las tecnologías antivirus. La máquina de la víctima se infecta de forma remota mediante exploits o herramientas de administración remota (Windows Management Instrumentation). Durante la infección, se ejecuta un script de PowerShell de una línea que descarga el cuerpo del minero y lo inicia inmediatamente sin escribirlo en el disco duro.

Con la ayuda de mimikatz, el minero obtiene las credenciales de la cuenta de usuario de la máquina actual, las usa para iniciar sesión e intenta propagarse a través de la red local lanzando una copia de sí mismo a través de WMI. Con "una copia de sí mismo" aquí y abajo nos referimos al script de una línea que descarga el cuerpo del minero del C & C.
PowerGhost también intenta propagarse a través de la red local utilizando el ahora famoso exploit EternalBlue (MS17-010, CVE-2017-0144).

El malware posee varias caracteristicas como

  • Actualización del Malware
  • Propagación
  • Escalamiento de privilegios
  • Se apoya en elsistema para ejecutarse cada 90 minutos
  • Carga Valida



El malware ha tenido un gran alcance en varios países teniendo un gran mercado en Brasil, India, Colombia y Turquía.