-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Malware Beapy.
- Publicado: 28/04/2019
- Importancia: Alta
- Recursos afectados
Utiliza método de propagación al estilo Phishing, en el cual adjunta un archivo Excel infectado y cuando este archivo es abierto por el usuario se descarga la puerta trasera DoublePulsar (Troyano que abre puerta trasera en un dispositivo infectado y permite la ejecución remota de código malicioso), cuando se descarga la puerta trasera ejecuta un comando de PowerShell y establece conexión con el servidor comando y control C&C de Beapy, antes e que se descargue un minero en el dispositivo. Según lo informado por Symantec los primeros indicios de actividad sospechosa se da desde el 15 de febrero del 2019. Beapy utiliza dispositivos sin parchear para acceder a la red y luego utiliza EternalBlue para propagarse a otras máquinas. Sin embargo, EternalBlue no es su única técnica, también utiliza robo de credenciales con Hacktool.Mimikatz (Herramienta que permite al atacante obtener acceso a un dispositivo al comprometer cierta funcionalidad en el SO).
Según Symantec Beapy se alojaba en un servidor web público e intentaba propagarse a los dispositivos conectados al servidor, generando una lista de direcciones IP con intención de atacarlas. La versión que se encontraba en el servidor es una versión anterior al malware. Sin embargo, la actividad es parecida.
En el servidor Beapy intento explotar las vulnerabilidades de Apache Struts CVE-2017-5638, Apache Tomcat CVE-2017-12615 y Oracle WebLogic CVE-2017-10271.
Su objetivo principal es explotar criptomoneda más rápidamente, lo que afecta a las empresas porque podría bajar el rendimiento de sus dispositivos, sobrecalentar las baterías, degradación de dispositivos, mayores costos en servicios de energía debido al uso de la CPU.
- Etiquetas