Un minero viene con una "Kill List" de procesos para mantener a raya a la competencia
Los investigadores de seguridad han descubierto el primer minero de criptomonedas que incluye una función de "Kill List" que apaga los procesos de otros mineros en un intento por acaparar toda la potencia minera del ordenador infectado por sí mismo.
Descubierto por el investigador de ICS Sans Xavier Mertens, este coinminer no es nada extraordinario y es solo una de las muchas nuevas cepas de malware centradas en la minería de criptomonedas que han aparecido desde el comienzo del año, cuando la mayor parte del panorama del cibercrimen cambió de operaciones de ransomware a la distribución coinminer.
Pero a diferencia de la mayoría de sus competidores, el autor de este coinminer ha entendido que el mercado se ha llenado bastante, y cada vez es más difícil infectar nuevos dispositivos sin que otros troyanos similares infecten el mismo PC y tengan que batallar por CPU y Ciclos computacionales de GPU.
Para contrarrestar el creciente número de malware en competencia, el autor de este troyano ha trabajado seriamente en el análisis de sus rivales y ha creado una lista de procesos de sistema operativo bajo los cuales los coinminadores de la competencia podrían estar funcionando.
Entonces, cada vez que su coinminer infecta una nueva PC, el troyano revisará la lista y eliminará cualquier proceso de sistema operativo local que coincida con una de las entradas de la siguiente "Kill list":
- Silence
- Carbon
- xmrig32
- nscpucnminer64
- mrservicehost
- servisce
- svchosts3
- svhosts
- system64
- systemiissec
- taskhost
- vrmserver
- vshell
- winlogan
- winlogo
- logon
- win1nit
- wininits
- winlnlts
- taskngr
- tasksvr
- mscl
- cpuminer
- sql31
- taskhots
- svchostx
- xmr86
- xmrig
- xmr
- win1ogin
- win1ogins
- ccsvchst
- nscpucnminer64
- update_windows
Mertens argumenta que los investigadores de seguridad también podrían beneficiarse del trabajo de este autor de malware, y utilizar la lista anterior para buscar señales de que una máquina podría haber sido infectada con un coinminer.
La función "Kill list" no es nueva. Ha sido vista anteriormente
Pero este malware de minería de criptomoneda no es la primera cepa de malware que utiliza la llamada "Kill list". Por ejemplo, el troyano bancario Shifu ha estado usando una característica similar desde 2015, matando procesos asociados con otros troyanos bancarios.
Además, incluso si no se trata de una Kill list la mayoría de las cepas de malware IoT avanzadas adoptarán medidas de protección después de infectar un enrutador o un dispositivo IoT, como el cierre de los puertos Telnet o SSH para evitar que el dispositivo sea tomado por otra cepa. El malware BrickerBot, Wifatch y Mirai son conocidos por ese comportamiento.
Muestras en Virus Total
Fuente: SANS ISC InfoSec Forums