Malware DirtyMoe

El meteórico aumento de la popularidad, impulsado por las ganancias de valor aún más impresionantes obtenidas por varias criptomonedas diferentes, puso al sector que antes era un nicho en el centro de atención del público. Los actores de amenazas también notaron la tendencia y rápidamente cambiaron sus operaciones para abusar de ella. Se crearon o equiparon numerosas botnets y herramientas de malware con capacidades de cripto minería. Los actores de amenazas pueden luego secuestrar los recursos de miles de sistemas comprometidos y usarlos para extraer monedas de una criptomoneda específica. Una de las herramientas de malware más recientes y sofisticadas de este tipo es el malware DirtyMoe. Hasta ahora, la amenaza se ha aprovechado contra objetivos en Rusia, pero también se han detectado víctimas en países europeos y asiáticos. Según los investigadores de infosec, cerca de cien mil máquinas infectadas con DirtyMoe están activas actualmente.

Las versiones iniciales de DirtyMoe fueron rastreadas por investigadores de seguridad informática bajo el nombre NuggetPhantom y, a menudo, eran inestables y fácilmente detectadas por productos de ciberseguridad. Desde entonces, sin embargo, el malware ha experimentado una evolución significativa y ahora es una amenaza modular y elusiva que exhibe múltiples técnicas de anti-detección y anti-análisis.

La cadena de ataque de DirtyMoe comienza con los piratas informáticos en busca de víctimas vulnerables a varias vulnerabilidades. Uno de ellos es la infame vulnerabilidad EternalBlue (CVE-2017-0144) que surgió en 2017 pero, aparentemente, quedan suficientes sistemas inseguros para que los actores de amenazas consideren que vale la pena seguir abusando de ella en sus operaciones dañinas. Otro de los exploits favorecidos por DirtyMoe es la vulnerabilidad de corrupción de memoria del motor de secuencias de comandos (CVE-2020-0674) que se encuentra en Internet Explorer. Las víctimas son atraídas a través de correos electrónicos de phishing que contienen URL inseguras.

Estructura modular

La principal característica del malware DirtyMoe es su modularidad. El componente principal es DirtyMoe Core. Es responsable de descargar, actualizar, cifrar, crear copias de seguridad y proteger la amenaza DirtyMoe. El Core también tiene la tarea de enviar un código dañado al DirtyMoe Executioner, que luego, como sugiere el nombre, lo ejecutará. El código inyectado se denomina Objeto MOE o Módulo y se obtiene del servidor de Comando y Control de la operación.

El comportamiento específico de la amenaza de malware se puede ajustar aún más para adaptarse a los objetivos de los actores de la amenaza. Los ciberdelincuentes pueden ordenar a DirtyMoe que descargue una carga útil encriptada con la funcionalidad deseada y luego inyectarla en sí mismo. En un par de horas, miles de instancias de DirtyMoe se pueden modificar de esta manera. De hecho, DirtyMoe se puede utilizar para lanzar ataques DDoS, realizar actividades de minería criptográfica o entregar cargas útiles adicionales amenazantes, como recolectores de datos, ransomware, troyanos y más.

Potentes capacidades de ocultación y autodefensa

DirtyMoe emplea VMProtect para salvaguardar su principal núcleo amenazador. También utiliza un controlador de Windows que exhibe varias funcionalidades que generalmente se encuentran en los rootkits, como el servicio, la entrada del Registro y la ocultación de controladores. Además, se puede indicar al controlador que oculte archivos específicos en el volumen del sistema de la máquina infectada o que inyecte DLL arbitrarias en cualquier proceso recién creado. La comunicación en red también se logra mediante una técnica potente. La amenaza lleva un conjunto de servidores DNS codificados que utiliza para realizar una solicitud de DNS a un dominio codificado. Sin embargo, para la dirección IP y el puerto finales, DirtyMoe usa una secuencia diferente de solicitudes de DNS. Como resultado, DirtyMoe se vuelve resistente a que se bloquee su IP final. Tampoco es prácticamente realista bloquear las solicitudes de DNS a servidores DNS como Google, Cloudflare y servicios similares.