Vivin Botnet
Los investigadores de malware han estado vigilando la actividad de Vivin Botnet desde 2017 cuando esta botnet apareció por primera vez en el mapa. La actividad máxima de Vivin Botnet fue alrededor de finales de 2018. Desde entonces, los operadores de esta botnet han estado descuidando esta campaña, y ha habido un número decreciente de sistemas secuestrados. El objetivo de los creadores de Vivin Botnet es comprometer los sistemas de los usuarios desprevenidos y colocar mineros de criptomonedas en ellos. Esto permitiría a los operadores de Vivin Botnet extraer criptomonedas utilizando los recursos informáticos de los usuarios cuyos sistemas han sido secuestrados.
Mines the Monero Cryptocurrency
El módulo de minería que los creadores de Vivin Botnet inyectan en los sistemas comprometidos es el minero de criptomonedas XMRig disponible públicamente. El minero XMRig está diseñado para extraer la criptomoneda Monero. Los operadores de Vivin Botnet han modificado ligeramente el minero XMRig para garantizar que funcione en segundo plano sin levantar sospechas. Para difundir la carga útil de Vivin Botnet, los atacantes han optado por utilizar aplicaciones pirateadas en sitios web populares de torrents como un vector de infección. Es por eso que los expertos en ciberseguridad aconsejan a los usuarios que no descarguen contenido pirateado: no solo es ilegal, sino que también puede dañar su sistema y poner en peligro la seguridad de sus datos.
Ganar persistencia
Al infectar un sistema, Vivin Botnet establecería inmediatamente una conexión con el servidor C&C (Comando y Control) de sus operadores. Esto se hace para que la amenaza registre el sistema recién comprometido y obtenga las configuraciones que necesita. Los operadores de Vivin Botnet usan algunas direcciones de billetera Monero diferentes donde recolectan la criptomoneda extraída. Sin embargo, parecen haber mencionado varias de estas direcciones en Reddit. Las publicaciones sobre las direcciones de Monero utilizadas en la campaña Vivin Botnet fueron publicadas por un individuo con el nombre de usuario 'vivin123', que es lo que inspiró el nombre de la botnet. Vivin Botnet ganaría persistencia en el host comprometido al programar una tarea de Windows que ejecutaría el módulo de minería cada 30 minutos para garantizar que siempre esté operativo.
Los mineros de criptomonedas siguen siendo un medio popular para hacer efectivo ilegalmente, y los delincuentes cibernéticos son cada vez más astutos. Esta es la razón por la cual los usuarios deben mantener todas sus aplicaciones actualizadas y tener mucho cuidado al descargar medios o software en línea. Además, asegúrese de descargar e instalar una herramienta antimalware genuina que mantendrá su sistema seguro y sus datos seguros.
