DLTMiner

¿Qué es?

DLTMiner es un malware de tipo troyano minero que se enfoca en infectar dispositivos con Microsoft Exchange Server para minar criptomonedas y generar ingresos para los atacantes. Además, proporciona una puerta trasera que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

• Se aprovecha de las vulnerabilidades relacionadas con ProxyLogon sobre servidores Exchange para obtener acceso inicial sin autenticación.
• Instala web shells en rutas accesibles del servidor Exchange para establecer una puerta trasera persistente y ejecutar comandos remotos.
• Utiliza scripts de PowerShell ofuscados que se ejecutan desde los web shells para descargar el minero desde servidores de mando y control (C2).
• Almacena su código como texto plano codificado en base64 y alojado en servicios legítimos y dominios comprometidos.
• Crea tareas programadas y usa herramientas propias del sistema, como WMI, para asegurar la ejecución automática del minero cada vez que el sistema se reinicia.
• Inyecta su proceso de minería dentro de procesos legítimos y mantiene su carga en segundo plano para evadir su detección.
• Utiliza los recursos de CPU del servidor para minar criptomonedas, comúnmente Monero (XMR) por su anonimato.
• Se conecta a pools de minería mediante conexiones cifradas, como con TLS sobre el puerto 443, para dificultar su detección en la red.
• Reduce el rendimiento del servidor y puede generar sobrecalentamiento, mayor consumo energético y degradación del hardware.
• Puede detectar otras cargas maliciosas instaladas previamente y reaprovecharse de ellas para su propio despliegue.
• Cambia nombres de archivos y emplea técnicas de ofuscación para evitar ser detectado por antivirus o soluciones EDR.
• Puede desactivar servicios de seguridad y generar exclusiones en políticas del sistema para que sus procesos no se interrumpan.
• Almacena sus binarios en ubicaciones poco monitorizadas, como directorios temporales o carpetas del sistema poco comunes.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con Microsoft Exchange Server on-premise sobre sistemas Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos, principalmente, a través de la explotación de la vulnerabilidad ProxyLogon (CVE-2021-26855 y sus variantes) en servidores Exchange expuestos en internet, en donde instala web shells como canal para ejecutar PowerShell ofuscado y descargarse.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners genéricos.

Más información

• Microsoft, Hafnium and my exchange: Collection of thoughts on DLTMiner (ReasonLabs)
• DLTMiner campaign targeting on-premise Microsoft Exchange servers using common IOCs (Esentire)
• Exchange servers under siege from at least 10 APT groups (ESET)