MrbMiner

¿Qué es?

MrbMiner, también conocido como MSRAMiner, es un malware de tipo troyano minero que se enfoca en infectar dispositivos Windows para minar criptomonedas Monero (XMR) y generar ingresos para los atacantes. Además, puede proporcionarles una puerta trasera que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

Mina criptomonedas de tipo Monero sin el conocimiento de los usuarios.
Utiliza un proceso del servidor SQL (sqlservr.exe) para ejecutar un archivo malicioso (assm.exe) que descarga y ejecuta un minero de criptomonedas.
Descomprime un archivo (sys.dll) que contiene el ejecutable del minero (Windows Update Service.exe), un archivo de configuración (config.json) y un controlador de dispositivo a nivel de kernel (WinRing0x64.sys) para la instalación de los componentes del minero.
Crea una cuenta de usuario con privilegios elevados y configura un servicio para generar persistencia y asegurarse que el minero se ejecuta automáticamente al iniciar el sistema.
Realiza comunicaciones con servidores de mando y control (C2) y se conecta a sus dominios para reportar la ejecución exitosa y, posiblemente, para recibir actualizaciones o instrucciones adicionales.
Afecta al rendimiento de los sistemas, ya que utiliza su capacidad de procesamiento para el minado de las criptomonedas.
Instala otros programas maliciosos adicionales para mejorar sus capacidades.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Microsoft Windows (sobre todo, servidores Microsoft SQL expuestos a Internet)

¿Cómo me infecta?

Este malware infecta a los dispositivos, principalmente, a través de la explotación de vulnerabilidades conocidas y de ataques de fuerza bruta a contraseñas débiles.