Es un ataque particularmente difícil de detectar. Los cibercriminales o piratas informáticos cada vez se las ingenian para pasar más desapercibidos y en esta ocasión parece que han vuelto a dar en el clavo.
Ahora se acaba de descubrir que unos hackers han camuflado malware de minería de criptomonedas en archivos de instalación de Windows, que supuestamente son oficiales y legales.
Estamos ante un software malicioso que se conocería como Coinminer, pero que habría sido desarrollado con el objetivo de pasar desapercibido. Por sus características, pues, se trata de un ataque difícil de detectar y que trata de camuflarse a través de una serie de métodos bastante efectivos.
Un malware que se autodestruye para eliminar cualquier rastro
La amenaza ha sido descubierta por la firma de seguridad Trend Micro, que ha sido capaz de documentar la naturaleza de este pernicioso ataque. De hecho, aquí arriba tienes un gráfico que ilustra la arquitectura de este fraude. Así, tal como ha detallado la compañía, el malware en cuestión es capaz de colarse en el ordenador de la víctima a bordo de un archivo MSI de Windows Installer.
Al tratarse de un medio legítimo y habitual para la instalación de software, no es extraño que pase desapercibido para la mayoría de usuarios. Es una estrategia de los piratas para hacer que el archivo no parezca sospechoso.
Pero esta no es la única treta que han usado los hackers para conseguir que su malware pase desapercibido. Además de usar los archivos MSI de Windows Installer, los investigadores han observado que una vez instalado, el directorio en el que queda anclado el malware está rodeado de otros archivos que funcionan como señuelo.
El instalador tiene asociado un script, que es el que se encarga de evitar que cualquier sistema antimalware sea capaz de detectar el archivo fraudulento. Además, se incluye un módulo para la minería de datos de criptomonedas.
Pero ojo, que aquí no acaba la cosa. El ataque es tan sofisticado que que incluso tiene habilitado un sistema de autodestrucción para dificultar todavía más su detección. Este es capaz de borrar todos los archivos del directorio en el que han sido instalados, de modo que no sea detectado ningún rastro de su presencia dentro del sistema.
Ha sido complicado determinar el origen del ataque, pero lo cierto es que la empresa de seguridad ha sido capaz de detectar que el instalador usa el alfabeto cirílico, algo de lo más habitual en los piratas que se dedican a minar criptomoneda.
La minería de criptomonedas, un problema al alza
Los expertos ya lo han advertido. El malware de minería de criptomonedas es tendencia. Las predicciones apuntan a que en los próximos meses se producirán muchos más casos como estos. O que por lo menos, los hackers lo intentarán.
Este 2018 se han detectado ya unos cuantos ataques, con malware infiltrado en routers, actualizaciones fantasma de Adobe Flash e incluso a través de páginas web de tiendas o sitios oficiales.
Los expertos en minería de criptomonedas son capaces de conseguir más de 250.000 dólares mensuales. Así que se trata de un negocio rentable: no es extraño, pues, que los profesionales del crimen pongan toda la carne en el asador para infiltrarse en los ordenadores y minar criptomoneda de manera fraudulenta.
¿Cómo evitar este tipo de ataques?
El objetivo que persiguen los hackers es el de usar los procesadores de otros ordenadores para minar criptomonedas sin que los usuarios se den cuenta de ello. Para evitar este tipo de ataques, tenemos la opción de bloquear el Javascript de las páginas. No podemos hacerlo de todas, porque de este modo sería casi imposible navegar. Pero sí tenemos la oportunidad de bloquearlo en páginas que pueden ser sospechosas.
Una opción más práctica es la de instalar una extensión en el navegador, como por ejemplo Miner Block, con la que serán bloqueados todos los scripts incluidos en una lista negra.
