Desde noviembre de 2021, los ciberdelincuentes han estado aprovechando una utilidad de Windows para distribuir malware de minería de criptomonedas, como se detalla en un informe de Talos Intelligence de Cisco. Los delincuentes manipulan el Instalador Avanzado de Windows, un programa que ayuda a los desarrolladores de software a agrupar otros instaladores de software, como Adobe Illustrator, para llevar a cabo scripts maliciosos en sistemas comprometidos.
El software objetivo y las víctimas
Los instaladores de software afectados por este ataque se utilizan principalmente para modelado 3D y diseño gráfico. La mayoría de los instaladores de software utilizados en esta campaña de malware están escritos en francés, lo que indica que las víctimas probablemente sean de diversos sectores empresariales, como arquitectura, ingeniería, construcción, fabricación y entretenimiento en países de habla francesa. El análisis sugiere que los usuarios de Francia y Suiza son los más afectados, con algunos casos en otros países, incluidos Estados Unidos, Canadá, Argelia, Suecia, Alemania, Túnez, Madagascar, Singapur y Vietnam.
El modus operandi
La operación de minería de criptomonedas maliciosa identificada por Talos despliega scripts perjudiciales de PowerShell y lotes de Windows para ejecutar comandos y establecer una puerta trasera en el equipo de la víctima. PowerShell, en particular, es conocido por operar en la memoria del sistema en lugar del disco duro, lo que dificulta la detección de un ataque.
Tras la instalación de la puerta trasera, el atacante lanza amenazas adicionales como el programa de minería de criptomonedas Ethereum PhoenixMiner y lolMiner, una amenaza de minería de múltiples monedas. Estos scripts maliciosos se ejecutan utilizando la función de Acción Personalizada del Instalador Avanzado, que permite a los usuarios predefinir tareas de instalación personalizadas. Las cargas finales son PhoenixMiner y lolMiner, que son mineros disponibles públicamente que explotan las capacidades de la GPU de las computadoras.
El fenómeno del cryptojacking
El acto de utilizar malware de minería de criptomonedas se conoce como cryptojacking. Implica instalar secretamente un código de minería de criptomonedas en un dispositivo sin el consentimiento del usuario para extraer criptomonedas ilícitamente. Las indicaciones de que podría estar operando malware de minería en un dispositivo incluyen el sobrecalentamiento y el rendimiento deficiente de los dispositivos. La práctica de utilizar familias de malware para secuestrar dispositivos y extraer o robar criptomonedas no es novedosa. BlackBerry, el antiguo gigante de los teléfonos inteligentes, descubrió recientemente scripts de malware que apuntan activamente al menos a tres sectores, incluidos servicios financieros, atención médica y gobierno.
A la luz de estas amenazas emergentes, es crucial mantenerse informado y tomar medidas preventivas. Una forma de hacerlo es utilizando plataformas como cryptoview.io, que proporcionan información valiosa sobre el mercado de criptomonedas y pueden ayudar a los usuarios a estar al tanto de los riesgos potenciales.
texto de llamada a la acciónRecuerde, el mundo digital está plagado de posibles amenazas. Manténgase vigilante, manténgase informado y, lo más importante, manténgase seguro.
