Home Blockchain Los sistemas aeroportuarios europeos fueron infectados con el malware de la minería...

Los sistemas aeroportuarios europeos fueron infectados con el malware de la minería de Monero

Más del 50% de todos los sistemas informáticos de un aeropuerto internacional europeo ha sido infectado recientemente por un criptógrafo Monero vinculado a la campaña Anti-CoinMiner Zscaler, detectada durante agosto de 2018.

El ataque de criptojacking fue descubierto por el equipo de Detección y Respuesta de Puntos Finales de Cyberbit, mientras desplegaba su solución de seguridad cuyo motor de comportamiento detectó posteriormente actividad sospechosa en algunos sistemas aeroportuarios.

“El malware puede haber sido utilizado durante meses antes de la instalación de Cyberbit EDR, aunque todas las estaciones de trabajo estaban equipadas con un antivirus estándar de la industria”, dijo Cyberbit.

Afortunadamente, además de afectar al rendimiento general de los sistemas infectados y provocar un mayor consumo de energía, el minero XMRig Monero no afectó a las operaciones del aeropuerto.

Ataque detectado usando análisis de comportamiento
Mientras que el criptógrafo utilizado para infectar los ordenadores del aeropuerto fue identificado hace más de un año, los atacantes lo modificaron lo suficiente como para asegurarse de que no será identificado por software antimalware.

“El malware que encontramos fue descubierto por primera vez por Zscaler hace más de un año”, encontró Cyberbit. “Se modificó lo suficiente para eludir la gran mayoría de las firmas existentes, y sólo 16 de los 73 productos de detección de VirusTotal detectaron la muestra como maliciosa”.

Cyberbit descubrió la infección porque los actores de la amenaza lanzaron repetidamente PAExec, una versión redistribuible de la herramienta legítima de Microsoft PsExec, una utilidad ligera para ejecutar procesos de forma remota en otros sistemas.

La herramienta se utilizó para la escalada de privilegios y les permitió lanzar un ejecutable llamado Player “en modo sistema”, lo que permitió obtener los máximos privilegios de usuario en los sistemas comprometidos.

“El modo de sistema proporciona privilegios máximos, por lo que el minero tendría prioridad sobre cualquier otra aplicación para el uso de los recursos de la estación de trabajo”, dice el informe.

“Esto repercute en el rendimiento de otras aplicaciones, así como en el de las instalaciones aeroportuarias. El uso de privilegios administrativos también reduce la capacidad de las herram
ientas de seguridad para detectar la actividad”.

“El uso de PAExec es a menudo una indicación de actividad maliciosa, además del uso repetido de la herramienta”, añadieron los investigadores de Cyberbit.

Los atacantes también utilizaron la carga de Reflective Dynamic-Link Library (DLL) (también conocida como Reflective DLL injection), una conocida técnica de evasión de detección utilizada por los operadores de malware, para inyectar DLL maliciosas en un proceso host que se ejecuta en la memoria sin utilizar el cargador de Windows y sin pasar por alto completamente los discos duros de los sistemas infectados.

PAExec también fue añadido por el malware a los registros de los sistemas para ganar persistencia y asegurarse de que los empleados del aeropuerto no puedan deshacerse de la infección reiniciando los ordenadores afectados.

Aunque aún no se conoce el vector de infección, los atacantes podrían haber utilizado una amplia gama de métodos, desde soltar cargas útiles maliciosas a través de correos electrónicos de phishing o infectar los sistemas con mineros ocultos en archivos aparentemente benignos mediante esteganografía, hasta utilizar descargas desde el disco duro para soltar un binario de criptominer o explotar servidores vulnerables que funcionan en la red del aeropuerto.

“En el peor de los casos, los atacantes podrían haber violado la red de TI como medio de entrar en la red de OT del aeropuerto para comprometer los sistemas operativos críticos que van desde las luces de las pistas hasta las máquinas de manipulación de equipajes y el tren de aterrizaje, por nombrar algunos de los muchos sistemas de OT estándar del aeropuerto que podrían ser cibersaboteados para causar daños físicos catastróficos”, concluye el reporte de Cyberbit.

Con información de: Bleping Computer.