Nuevo gusano de minería de criptomonedas vinculado a campaña global

Iniciado por AXCESS, Enero 27, 2025, 07:37:19 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 27, 2025, 07:37:19 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Tangerine Turkey es un gusano de Visual Basic Script (VBS) que se propaga a través de unidades USB y despliega malware de minería de criptomonedas para generar criptomonedas para los atacantes.

El gusano utiliza una técnica llamada secuestro de DLL, manipulando el archivo legítimo printui.exe para entregar su carga útil, según los expertos de Red Canary, una empresa de ciberseguridad.

Red Canary observó Tangerine Turkey en noviembre del año pasado (de ahí el nombre) y señaló que era una amenaza en curso que podría estar relacionada con la operación mundial Universal Mining.

La campaña generalizada de minería de criptomonedas fue detallada por primera vez por el CERT de Azerbaiyán en octubre. Utiliza gusanos VBS y, según se informa, ha infectado más de 270.000 sistemas en 135 países.

A pesar de su naturaleza generalizada, la campaña fue "relativamente poco denunciada", dijo Stef Rand de Red Canary en una publicación de blog, y agregó que "todavía sigue siendo fuerte, posiblemente con nuevas variantes de malware".

Se descubrió que Tangerine Turkey usaba XMRig y Zephyr Miner como software de minería, ambos diseñados para extraer criptomonedas de forma encubierta. Zephyr Miner tiene como objetivo Zephyr, una moneda estable creada en 2023.

El malware se distribuye a través de unidades USB y ejecuta archivos maliciosos para instalar y manipular binarios del sistema. Los indicadores clave de compromiso incluyen archivos printui.exe reubicados y la presencia de carpetas o scripts inusuales en los sistemas infectados.

Los expertos en seguridad recomiendan monitorear las ubicaciones de archivos inusuales, en particular printui.exe fuera de su directorio predeterminado, lo que podría ser un indicio de actividad sospechosa.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario