Una campaña reciente del bot Necro Python ha demostrado que el desarrollador detrás del malware está trabajando duro para aumentar sus capacidades y esto se demuestra con una nueva amenaza dirigida a los sistemas Windows y Linux, el bot Necro Python cambia su código para evadir la detección por la seguridad tradicional, dice Cisco Talos.
Aunque el bot se descubrió originalmente a principios de este año, la última actividad muestra numerosos cambios en el bot, que van desde diferentes comunicaciones de comando y control (C2) y la adición de nuevos exploits para la propagación, especialmente vulnerabilidades en VMWare vSphere. , SCO OpenServer, Vesta. Explotaciones de panel y basadas en SMB que no estaban presentes en iteraciones anteriores del código.
Una versión de la botnet, lanzada el 18 de mayo, también incluye exploits para EternalBlue CVE-2017-0144 y EternalRomance CVE-2017-0147. El bot primero intentará explotar estas vulnerabilidades en los sistemas operativos basados en Linux y Windows. Si tiene éxito, el malware usa un descargador de JavaScript, un intérprete y scripts de Python, y ejecutables creados con pyinstaller para comenzar a conectar el sistema comprometido a la botnet como una máquina esclava.
Necro Python luego establecerá una conexión con un servidor de comando y control (C2) para mantener el contacto con su operador, recibir comandos, filtrar datos o implementar cargas útiles de malware adicionales. Una nueva incorporación al bot es un minero de criptomonedas, XMRig, que se utiliza para generar Monero (XMR) robando recursos informáticos de la máquina comprometida.
Una de las capacidades más alarmantes descubiertas en la última versión de Necro es la transformación de código. Talos descubrió que el código del script puede transformarse en una forma diferente después de cada iteración. Esta capacidad convierte a Necro en un gusano polimórfico que puede propagarse abusando de un número creciente de interfaces basadas en web y exploits SMB.
Más allá de las capacidades de transformación, Necro instala un rootkit en modo de usuario para ocultar sus archivos, procesos y entradas de registro maliciosos. El objetivo general es hacer que el bot sea más difícil de detectar. Estas tácticas podrían ayudar a Necro a evadir la protección de seguridad básica y tradicional, pero Talos dijo que sería detectado por herramientas de detección más modernas, incluidos los productos de Detección y Respuesta Extendida.
Los usuarios y las empresas deben adoptar medidas de seguridad más fuertes ya que estas amenazas siguen evolucionando y por eso debemos hacer lo mismo, para no ser víctimas de estas aplicaciones maliciosas.
