Nouveau logiciel malveillant Crypto-Mining ZombieBoy exploite plusieurs CVE pour un impact maximum

ZombieBoy, une nouvelle famille de crypto-mining, a récemment atteint 43 KH / s, soit 1 000 $ par mois aux prix actuels de Monero.

Le chercheur en sécurité indépendant James Quinn a décrit ZombieBoy, une nouvelle famille de logiciels malveillants de cryptage, dans AlienVault le 18 juillet. Le nom vient du kit ZombieBoyTools que le malware utilise pour déposer son premier fichier de bibliothèque de liens dynamiques (DLL). Tout comme MassMiner, ZombieBoy est un ver hautement infectieux, mais il utilise WinEggDrop plutôt que MassScan pour identifier de nouveaux hôtes.

Avant de fermer récemment l’une de ses adresses sur le pool minier Monero MineXMR, les logiciels malveillants de cryptographie extraient chaque mois environ 1 000 dollars de la monnaie numérique, selon Quinn. Basé sur son utilisation de la langue chinoise simplifiée, ZombieBoy provient probablement de Chine.

ZombieBoy exploite plusieurs CVE pour battre les défenses de sécurité

ZombieBoy exploite plusieurs vulnérabilités pour compromettre les réseaux, notamment CVE-2017-9073, une vulnérabilité RDP (Remote Desktop Protocol) sur XP et Server 2003 et SMB (Server Message Block) exploite les vulnérabilités CVE-2017-0143 et CVE-2017-0146. Il utilise ensuite DoublePulsar et EternalBlue pour créer plusieurs backdoors, ce qui augmente les risques de compromis et rend plus difficile pour les équipes informatiques d’éliminer les infections.

Le logiciel malveillant de cryptographie est crypté avec Themdia et ne fonctionnera pas sur les machines virtuelles (VM). Cela rend difficile la capture et l’ingénierie inverse, ce qui limite l’efficacité et le développement de contre-mesures.

ZombieBoyTools est lié à d’autres logiciels malveillants chinois comme IRON TIGER APT (lui-même une variante de Gh0st RAT). Cela suggère non seulement la persistance mais aussi l’évolution continue. Les doubles portes dérobées de ZombieBoy pourraient ouvrir la voie aux logiciels malveillants de cryptage et laisser la porte ouverte aux rançongiciels, keyloggers et autres outils malveillants.

Comment les entreprises peuvent-elles lutter contre les logiciels malveillants de Crypto-Mining?

Bien qu’il soit difficile d’arrêter des menaces comme ZombieBoy, les entreprises peuvent prendre des mesures pour limiter les risques. Les chercheurs en sécurité d’IBM recommandent de bloquer le trafic de commande et de contrôle (C & C) dont les exploits tels que DoublePulsar et EternalBlue reposent sur l’utilisation de signatures telles que SMB_EternalBlue_Implant_CnC et SMB_DoublePulsar_Implant_CnC.

Les experts en sécurité recommandent également de mettre au point des systèmes immunitaires intelligents et intégrés capables de répondre à de multiples menaces, y compris des attaques cryptographiques, des rançongiciels et des attaques par déni de service distribué (DDoS). Cet écosystème de solutions devrait inclure l’authentification à deux facteurs (2FA), les pare-feu applicatifs avancés et la possibilité de limiter ou de désactiver les ports et services inutilisés.

AGILLY peur vous assister dans la mise en place de cet écosystème. Contactez-nous à info@agilly.net