ZombieBoy, como lo ha bautizado el analista de seguridad James Quinn, es una nueva familia de malware de minado de criptomonedas que utiliza la capacidad de procesamiento de tu ordenador para obtener Moneros.
ZombieBoy tiene características de gusano, valiéndose de WinEggDrop para buscar nuevos hosts y propagarse. Para infectar a la víctima el virus utiliza la herramienta que le da nombre: "ZombieBoyTools". Esta herramienta aprovecha dos conocidos exploits, EternalBlue y DoublePulsar para instalar la DLL maliciosa en la máquina de la víctima.
Una vez instalada la DLL en la máquina, se descarga y ejecuta el binario "123.exe" desde ca[.]posthash[.]org:443. Este se encargará de descargar el resto de componentes del malware:
"64.exe", además de estar cifrado con el packet "Themida" implementa algunas técnicas de evasión bastante sofisticadas. Se encarga de la propagación del virus y de ejecutar el miner (XMRIG), para ello utiliza "WinEggDrop" un escaner TCP que buscará víctimas potenciales contra las que ejecutar el exploit DoublePulsar. Adicionalmente "64.exe" utiliza el software XMRIG para minar Monero y enviarlo a las direcciones:
LEER MAS: https://unaaldia.hispasec.com/2018/07/zombieboy-nuevo-malware-de-minado-de.html