Una versión actualizada de un malware botnet llamado Prometei ha infectado más de 10,000 sistemas en todo el mundo desde noviembre de 2022.
Las infecciones son geográficamente indiscriminadas y oportunistas, con la mayoría de las víctimas reportadas en Brasil, Indonesia y Turquía.
Prometei, observado por primera vez en 2016, es una botnet modular que presenta un gran repertorio de componentes y varios métodos de proliferación, algunos de los cuales también incluyen la explotación de fallas de ProxyLogon Microsoft Exchange Server.
También es notable por evitar atacar a Rusia, lo que sugiere que los actores de la amenaza detrás de la operación probablemente tengan su sede en el país.
Las motivaciones de la botnet multiplataforma son financieras, principalmente aprovechando su grupo de hosts infectados para extraer criptomonedas y cosechar credenciales.
La última variante de Prometei (llamada v3) mejora sus características existentes para desafiar el análisis forense y profundizar aún más su acceso en las máquinas víctimas, dijo Cisco Talos en un informe compartido con The Hacker News.
La secuencia de ataque procede así: al obtener un punto de apoyo exitoso, se ejecuta un comando de PowerShell para descargar la carga útil de la botnet desde un servidor remoto. El módulo principal de Prometei se utiliza para recuperar la carga útil real de criptominería y otros componentes auxiliares en el sistema.
Algunos de estos módulos de soporte funcionan como programas de propagación diseñados para propagar el malware a través del Protocolo de escritorio remoto (RDP), Secure Shell (SSH) y Bloque de mensajes del servidor (SMB).
Prometei v3 también es notable por usar un algoritmo de generación de dominio (DGA) para construir su infraestructura de comando y control (C2). Además, incluye un mecanismo de actualización automática y un conjunto ampliado de comandos para recopilar datos confidenciales y comandar el host.
Por último, pero no menos importante, el malware despliega un servidor web Apache que se incluye con un shell web basado en PHP, que es capaz de ejecutar comandos codificados en Base64 y llevar a cabo cargas de archivos.
«Esta reciente adición de nuevas capacidades [indica] que los operadores de Prometei están actualizando continuamente la botnet y agregando funcionalidad», dijeron los investigadores de Talos Andrew Windsor y Vanja Svajcer.
Fuente: https://thehackernews.com
1 Comentar
Qué gran blog para los entusiastas del mundo de la ciberseguridad. Gracias por compartir tanta info.