Novedades - Title-Box

Novedades

Noticias, alertas y reportes que ayudan a mantenerte informado

  1. Inicio
  2. Servicios
  3. Contacto

NUEVO MALWARE KMSDBOT

 

NUEVO MALWARE KMSDBOT

15/11/2022    

BOLETÍN NRO 2022-667

Recientemente un malware evasivo y complejo llamado KmsdBot tiene como objetivo la conexión SSH de credenciales de accesos débiles. Su objetivo es entrar en los sistemas para realizar operaciones de criptominería y ataques DDoS.

 

Servicios Afectados

Sistemas operativos Windows

 

Detalles Tecnicos

CVE: ---

  

                                 Severidad:   ALTA

  

Según investigadores de seguridad, es un malware basado en el lenguaje Golang que aprovecha el protocolo criptográfico para obtener la entrada inicial en los sistemas objetivo.

KmsdBot es capaz de llevar a cabo operaciones de escaneo de puertos SSH abiertos y de propagarse descargando una lista de credenciales de acceso. Puede lanzar criptomineros y ataques DDoS.

Tiene un binario cliente que se comunica con el servidor C2, controla el proceso de minería y actualiza el malware.  Otro binario parece realizar operaciones de minado de criptomonedas y operaciones de ataque adicionales. Sin embargo, no se mantiene persistente en el sistema infectado y se borra a sí mismo al reiniciar, como una forma de evadir la detección.

Este malware tiene como objetivo empresas del sector de la tecnología de juegos y fabricantes de coches de lujo. Su primer objetivo observado fue una empresa de juegos llamada FiveM, un mod multijugador para Grand Theft Auto V, que permite a los jugadores acceder a servidores de rol personalizados.

Detalles del ataque:

• El malware incluye ataques específicos dirigidos, así como ataques genéricos de DDoS de Capa 4 y Capa 7.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Contiene binarios compilados de forma cruzada para varias arquitecturas como Winx86, Arm64, mips64, ppc64le, ppc64, x86_64 y otras.

Para los especialistas de seguridad, KmsdBot es imprevisible en cuanto a sus objetivos. Por lo tanto, se recomienda a las organizaciones que desplieguen controles de acceso adecuados en las redes.

Indicadores de Compromiso HASH

MD5: e14c43af45c93c8966aad778f3d2ef8c

SHA-256: 8d1df3c5357adbab988c62682c85b51582649ff8a3b5c21fca3780fe220e5b11

MD5: c87d5d804957cb26f2dbfdbb790860cf

SHA-256: e83a61c538f11e4fc9dd9d0f414a9e74d0d585ffe3302e4d3741be6a3523bd1e

MD5: db90b8fd78d6609a1d0a6cadf4e4605c

SHA-256: 714eeba5b6e4610946cd07c1ddadddc94052bfe450a8a9b1c23495721082884d

MD5: 6cfc24592ae69faec4868046438cfaed

SHA-256: 8775bdd7a33f136d31b2840dab68505ac0ab8eaa0bcb58713fae36552b8a1f95

MD5: e14c43af45c93c8966aad778f3d2ef8c

SHA-256: 8d1df3c5357adbab988c62682c85b51582649ff8a3b5c21fca3780fe220e5b11

MD5: 2833c82055bf2d29c65cd9cf6684449a

SHA-256: 3928c5874249cc71b2d88e5c0c00989ac394238747bb7638897fc210531b4aab

MD5: c87d5d804957cb26f2dbfdbb790860cf

SHA-256: e83a61c538f11e4fc9dd9d0f414a9e74d0d585ffe3302e4d3741be6a3523bd1e

MD5: 99b6d55bde66fe75e971b04add466cb2

SHA-256: 74075b2bdfaf52d9e5984a28ec7765ae489077a69dd696718e724a455a6f7910

MD5: 9e55a934939ac8fb39f251a125cacf71

SHA-256: b927e0fe58219305d86df8b3e44493a7c854a6ea4f76d1ebe531a7bfd4365b54

MD5: 6cfc24592ae69faec4868046438cfaed

SHA-256: 8775bdd7a33f136d31b2840dab68505ac0ab8eaa0bcb58713fae36552b8a1f95

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Implementar filtrado y segmentación entre redes y utilizar principio de minimo privilegios.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Desplegar controles de acceso adecuados en las redes para garantizar que solo se permita el acceso al personal autorizado.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com


 

Asset Publisher

Reporte

126 Reporte Quincenal de Ciberinteligencia 2025

Seguir leyendo

Reporte

125 Reporte Quincenal de Ciberinteligencia 2025

Seguir leyendo

Reporte

124 Reporte Quincenal de Ciberinteligencia 2025

Seguir leyendo

Asset Publisher