Botnet Golang vacía las billeteras de criptomonedas de los usuarios de windows

Una nueva botnet basada en Golang en desarrollo activo ha estado atrapando a cientos de dispositivos Windows cada vez que sus operadores implementan un nuevo servidor de comando y control (C2).

Descubierto por primera vez en octubre de 2021 por los investigadores de ZeroFox que lo llamaron Kraken , este botnet previamente desconocido utiliza la  puerta trasera SmokeLoader y el descargador de malware para propagarse a los nuevos sistemas de Windows.

Después de infectar un nuevo dispositivo de Windows, la botnet agrega una nueva clave de registro para lograr la persistencia entre los reinicios del sistema. También agregará una exclusión de Microsoft Defender para garantizar que su directorio de instalación nunca se escanee y oculte su binario en Windows Explorer usando el atributo oculto.

Kraken tiene un conjunto de funciones limitado y simple, que permite a los atacantes descargar y ejecutar cargas útiles maliciosas adicionales en dispositivos comprometidos, incluido el malware RedLine Stealer.

RedLine es actualmente  el ladrón de información más ampliamente implementado  capaz de recolectar las contraseñas de las víctimas, las cookies del navegador, la información de la tarjeta de crédito y la información de la billetera de criptomonedas.

"Los comandos de monitoreo enviados a las víctimas de Kraken desde octubre de 2021 hasta diciembre de 2021 revelaron que el operador se había centrado por completo en empujar a los ladrones de información, específicamente a RedLine Stealer", dijo ZeroFox.

"Actualmente se desconoce qué pretende hacer el operador con las credenciales robadas que se han recopilado o cuál es el objetivo final para crear esta nueva red de bots".

Capacidades integradas de robo de billetera criptográfica

Sin embargo, la red de bots también cuenta con capacidades integradas de robo de información y también puede robar billeteras criptográficas antes de dejar caer a otros ladrones de información y mineros de criptomonedas.

Según ZeroFox, Kraken puede robar información de las billeteras criptográficas Zcash, Armory, Bytecoin, Electrum, Ethereum, Exodus, Guarda, Atomic y Jaxx Liberty.

Según la información recopilada del grupo de minería de criptomonedas Ethermine, esta botnet parece estar agregando aproximadamente USD 3,000 cada mes a las billeteras de sus maestros.

"Mientras está en desarrollo, Kraken C2 parece desaparecer con frecuencia. ZeroFox ha observado una disminución de la actividad de un servidor en múltiples ocasiones, solo para que otro aparezca poco tiempo después usando un puerto nuevo o una IP completamente nueva", agregaron los investigadores .

Sin embargo, "al usar SmokeLoader para propagarse, Kraken gana rápidamente cientos de nuevos bots cada vez que el operador cambia el C2".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta