Rarog: malware para realizar ataques de minado de criptomonedas
Hasta la fecha se ha detectado más de 166.000 infecciones relacionadas con Rarog alrededor de todo el mundo. La mayoría de estas infecciones apuntan a ciudadanos de Filipinas, Rusia e Indonesia.
Mapa de infecciones. Fuente: paloaltonetworks.com |
El malware es muy versátil: permite infectar dispositivos USB, configurar distintos programas de minado para distintas criptodivisas, inyectar DLL en la víctima… Además de contar con un panel web donde visualizar información estadística de los ataques y administarlos.
A pesar de esto, no se tiene constancia de ataques muy lucrativos. A lo sumo se ha podido encontrar el equivalente a unos 120 dólares en una de las carteras de un atacante.
Como decíamos, el troyano se puede adquirir en foros ‘underground’ por unos 6000 rublos, que al cambio equivalen a unos 85€.
Foro donde se anuncia el malware |
- /2.0/method/checkConnection – Comprueba el estado de la comunicación con el malware.
- /2.0/method/config – Devuelve los parámetros de configuración del malware.
- /2.0/method/delay – Devuelve el tiempo de espera después de ejecutar el software de minado.
- /2.0/method/error – Devuelve información sobre los mensajes de error mostrados a la víctima.
- /2.0/method/get – Devuelve información sobre la ruta del software de minado.
- /2.0/method/info – Devuelve el nombre del ejecutable.
- /2.0/method/setOnline – Actualiza las estadísticas en el C&C.
- /2.0/method/update – Actualiza el malware.
- /4.0/method/blacklist – Procesos que pararían las operaciones de minado cuando están en ejecución.
- /4.0/method/check – Query remote C2 server to determine if ID exists.
- /4.0/method/cores – Devuelve el porcentaje de CPU usado.
- /4.0/method/installSuccess – Pide instrucciones al C&C.
- /4.0/method/modules – Para cargar módulos adicionales en la víctima.
- /4.0/method/threads – Funciones adicionales (Propagación por USB, ejecutables auxiliares, etc.)
Panel C&C. Fuente: paloaltonetworks.com |
Mensaje en el foro de un usuario de Rarog |
- f9bd93476d5f486c0296690c08a7eabba8e0a035967e9ad8044909cf87d36888
- 180910f0e3586d6660d89d33048c9d8ba1714ea95c994ce98c42a81e811085d7
- 0607f80f1d2ae83e5a5bdd7e871345d8154ae4d194d3269723b5ca7d3f1a8ef4
- 3e495463f7a13b76dc21ea8475b989b10417e876ca03f50b890edc2106ce31fd
- f52f6e2c719f241de37ad01ca4d7adb7dc273b67dfdd1189a32aa87da075d8c0
- 7041f575e6bfea69ff0b2debc1bb5ea66c0e061c0a749af6014829051e16ce21
- 5efd0bc2d0bdc6c52da41b022f658d599ec4458080e2935e2a4694273e85db17
- 57372a5f36bbde6c76644ba41f51eaeaeab9bb533e96921e9c1c21d97c4970a0
- bf5e333b94e934add020508b488c7ad8ed2db7c22c28008e160038bf6ae72dc7
- 399c081d2446454636ebad83f5f5fb519cc084bd0f3fc8714d0dd39947504865
- 1ae2c0dcba70f94fde9d01e53f1c935b23df629e45536c512250a4dc1f8548c6
- 16fec36b6f1cd8b4efe67bbad835c45dff38816b9899ba826cf4c841725dcc52
- ba8701317a92692cb92e10ac6200c7b9539dcb0b450fcc9c744a56e3809996f0
- 9ea0ae9cc3de617a09f8145279954eb92e267971971df8b1a7de4fae7e58ef43
- 2913503ba2322216be1de3e3d34ed5619a731d12c290512eccc88b53a002fe6c
- 2f86ff04d167d4311c06c77c57f2007e82a9f336754479a65bf217d3abb10587
- 7d8ff4abe67d4001b0eca4c0e47305cea05ea9d8c97945d1f125f9de94ceec3f
https://researchcenter.paloaltonetworks.com/2018/04/unit42-smoking-rarog-mining-trojan/
Rarog IOCS
https://github.com/pan-unit42/iocs/tree/master/rarog
Powered by WPeMatico