Hace algunos meses, especialistas en análisis informático forense de la firma Kaspersky analizaron Plurox, un backdoor detectado en algunos ataques ocurridos a comienzos del 2019, descubriendo que este malware cuenta con algunas características con alto potencial nocivo.

En su investigación, los expertos descubrieron que el malware puede extenderse a través de una red local mediante un exploit, acceder a la red objetivo e instalar software de minería de criptomoneda, entre otras actividades maliciosas. Plurox está escrito en C y compilado con Mingw GCC; los expertos creen que el malware aún se encontraba en etapa de desarrollo cuando fue detectado.

Este backdoor usa el protocolo TCP para establecer comunicación con el servidor de comando y control, además, sus plugins se cargan y se interconectan usando dos puertos diferentes. Acorde a los expertos en análisis informático forense, al monitorear la actividad del malware, fueron detectadas dos sub redes. En una, Plurox recibe algunas variantes de software de minado, mientras que en la otra sub red, además de algunos programas mineros, son descargados varios plugins.

Esta variante de malware prácticamente no cuenta con cifrado, pues solamente se aplican unas pocas claves de 4 bytes para el cifrado XOR normal. El paquete para llamar al servidor de C&C luce como se muestra a continuación:

El búfer contiene una cadena XORed con la clave al comienzo del paquete. La respuesta del C&C contiene el comando que se ejecutará, así como los datos para su ejecución cifrados con XOR. Cuando el plugin se carga, el bot selecciona el bitness requerido y solicita tanto auto_proc como auto_proc64. En respuesta, el C&C envía el plugin cifrado MZ-PE.

En total, los expertos en análisis informático forense encontraron siete comandos diferentes en Plurox para realizar diversas tareas como:

  • Descarga y ejecución de archivos utilizando WinAPI CreateProcess
  • Actualización del bot
  • Eliminar e interrupción del servicio
  • Descarga y ejecución del plugins
  • Interrupción de la conexión
  • Actualización del plugins
  • Eliminación del plugins

Acorde a los expertos del Instituto Internacional de Seguridad Cibernética (IICS) Plurox puede instalar uno de varios programas de minado de criptomoneda, la elección se hace dependiendo de las configuraciones del sistema objetivo. Esta información es enviada al servidor C&C y, en respuesta, se recibe información sobre el plugin ideal para instalar en ese sistema.

Otro módulo intrigante en Plurox es el plugin SMB, capaz de esparcir malware a través de la red comprometida usando el exploit de la falla EternalBlue.

Deja un comentario