Instituto Nacional de ciberseguridad. Sección Incibe

ZombieBoy

¿Qué es?

ZombieBoy es un malware de tipo troyano minero con características de gusano, downloader y backdoor, que se enfoca en infectar dispositivos Windows para minar criptomonedas y generar ingresos para los atacantes. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

  • Accede y roba la información de los dispositivos infectados.
  • Realiza conexiones con sitios no legítimos y descarga otros ficheros y programas maliciosos.
  • Instala y ejecuta otros tipos de programas maliciosos, como criptomineros, sin el conocimiento del usuario.
  • Configura una puerta trasera en los equipos infectados que permite a los atacantes controlar remotamente el dispositivo infectado.
  • Utiliza vulnerabilidades en servicios de Windows, como el exploit EternalBlue asociado a SMB, para propagarse lateralmente a través de la red interna.
  • Inicia procesos y utiliza recursos de la CPU/GPU de los dispositivos infectados para minar criptomonedas de tipo Monero sin el conocimiento del usuario.
  • Extrae información sensible del sistema infectado y la envía a servidores de mando y control (C2).
  • Descarga y ejecuta archivos adicionales para ampliar la capacidad de realizar actividades maliciosas en el dispositivo afectado.

Sistemas afectados

Los principales dispositivos afectados son:

  • Sistemas con Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos, principalmente, a través de la explotación de vulnerabilidades no parcheadas y relacionadas con SMB, como las conocidas por EternalBlue. Igualmente, también se distribuye a través de correos electrónicos de phishing con archivos adjuntos maliciosos, a través de enlaces de descarga de software comprometido y a través de sitios web expuestos que lo descargan y ejecutan automáticamente sin intervención del usuario.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners.

Más información

Compartir en Redes Sociales