Prometei

¿Qué es?

Prometei es una botnet altamente modular con capacidades similares a las de un gusano, que se ha mejorado y actualizado continuamente desde que apareció en 2016, por lo que representa una amenaza persistente para las organizaciones. Ha infectado hasta la fecha más de 10000 dispositivos.

¿Qué hace?

El objetivo de esta botnet se centra en la instalación de malware dedicado a criptominería de Monero y herramientas de robo de credenciales, o incluso llevar a cabo ataques de denegación de servicio distribuido.

Los operadores de la botnet envían correos electrónicos amenazantes a grandes organizaciones que no pueden permitirse lidiar con el tiempo de inactividad de la infraestructura en caso de ser atacadas.

Otros nombres/Alias

Backdoor.Win64.PROMETEI, TrojanSpy.Win32.PROMETEI

Sistemas afectados

Afecta principalmente a los siguientes sistemas:

• Microsoft Windows
• Sistemas Linux-Unix

¿Cómo me infecta?

Principalmente por la explotación de vulnerabilidades de Microsoft Exchange. El equipo de la víctima puede verse afectado a partir de un archivo .zip malicioso, o bien una descarga involuntaria. Este malware contiene algunos módulos para continuar propagándose a través de protocolos como SSH, RDP y SMB.

Cómo desinfectar mi equipo

Observar la configuración del dispositivo y verificar lo siguiente:

• Si detecta la existencia de un cliente L2TP elimínelo.
• Si detecta una regla en el firewall que permita el acceso remoto a través del puerto 5678, elimínela.
• Si detecta una regla que ejecuta un script con el método fetch(), elimínela de la configuración.
• Si detecta un servidor proxy SOCKS habilitado de forma inusual, deshabilítelo.

Más información

• https://www.cybereason.com/blog/research/prometei-botnet-exploiting-microsoft-exchange-vulnerabilities
• https://www.trendmicro.com/en_us/research/21/e/proxylogon-a-coinminer--a-ransomware--and-a-botnet-join-the-part.html
• https://blog.talosintelligence.com/prometei-botnet-improves