Rarog: malware para realizar ataques de minado de criptomonedas

Rarog: malware para realizar ataques de minado de criptomonedas

El equipo de investigadores de Palo Alto Networks realiza un análisis de Rarog, un troyano de minado de criptomonedas que está creciendo en popularidad debido a su facilidad de uso y versatilidad.


Rarog se empezó a vender en foros underground en junio del 2017. Su precio y su sencillez lo han hecho muy atractivo para delincuentes noveles que quieren realizar ataques de minado de criptomonedas.

Hasta la fecha se ha detectado más de 166.000 infecciones relacionadas con Rarog alrededor de todo el mundo. La mayoría de estas infecciones apuntan a ciudadanos de Filipinas, Rusia e Indonesia.

Mapa de infecciones. Fuente: paloaltonetworks.com


El malware es muy versátil: permite infectar dispositivos USB, configurar distintos programas de minado para distintas criptodivisas, inyectar DLL en la víctima… Además de contar con un panel web donde visualizar información estadística de los ataques y administarlos. 

A pesar de esto, no se tiene constancia de ataques muy lucrativos. A lo sumo se ha podido encontrar el equivalente a unos 120 dólares en una de las carteras de un atacante.


Como decíamos, el troyano se puede adquirir en foros ‘underground’ por unos 6000 rublos, que al cambio equivalen a unos 85€.

Foro donde se anuncia el malware

Una vez infectado el sistema, el malware cuenta con varios métodos que permiten controlarlo de forma remota:
  • /2.0/method/checkConnection  Comprueba el estado de la comunicación con el malware.
  • /2.0/method/config  Devuelve los parámetros de configuración del malware.
  • /2.0/method/delay  Devuelve el tiempo de espera después de ejecutar el software de minado.
  • /2.0/method/error  Devuelve información sobre los mensajes de error mostrados a la víctima.
  • /2.0/method/get – Devuelve información sobre la ruta del software de minado.
  • /2.0/method/info   Devuelve el nombre del ejecutable.
  • /2.0/method/setOnline  Actualiza las estadísticas en el C&C.
  • /2.0/method/update  Actualiza el malware.
  • /4.0/method/blacklist  Procesos que pararían las operaciones de minado cuando están en ejecución.
  • /4.0/method/check  Query remote C2 server to determine if ID exists.
  • /4.0/method/cores  Devuelve el porcentaje de CPU usado.
  • /4.0/method/installSuccess  Pide instrucciones al C&C.
  • /4.0/method/modules – Para cargar módulos adicionales en la víctima.
  • /4.0/method/threads – Funciones adicionales (Propagación por USB, ejecutables auxiliares, etc.)
Todas estas acciones se pueden llevar a cabo desde el panel de C&C donde además se muestra información estadística sobre los ataques.

Panel C&C. Fuente: paloaltonetworks.com

Los paneles de control descubiertos por el equipo de Palo Alto se encuentran en su mayoría en servidores de Rusia y Alemania.
Aunque Rarog no ha sido muy mediático la tendencia al alza de este tipo de ataques y su facilidad de uso han hecho crecer su popularidad. 
Mensaje en el foro de un usuario de Rarog
Algunos IOCs de las últimas muestras encontradas:



Francisco Salido
fsalido@hispasec.com

Más información:

http://feeds.feedburner.com/hispasec/zCAd

Deja un comentario

Tu dirección de correo electrónico no será publicada.