Malware de minería utiliza varias técnicas de evasión, incluido Windows Installer

El cripto hacking es cada día mucho más complejo, siempre va un pasado delante de los mecanismos de seguridad. Recientemente los piratas informáticos han estado creando un malware de minería que lograr engañar a las computadoras Windows para que de hecho piensen que están siendo instalados archivos legítimos.

Las investigaciones han revelado recientemente que Coinminer, el software de extracción de cifrado más popular para piratas informáticos, está diseñado para ocultarse a simple vista. La razón principal por la que es tan difícil es que utiliza varios métodos de ofuscación.

Parece que Windows está proporcionando “ventanas” a los hackers. De acuerdo con The Next Web, los piratas informáticos ocultan el malware de criptomoneda en los archivos de instalación de Windows como parte de un reciente esfuerzo de criptografía.

El descubrimiento fue realizado por la firma de seguridad Trend Micro, que desde entonces ha documentado el vector de ataque con mayor extensión.

“El malware llega a la máquina de la víctima como un archivo MSI de Windows Installer, que es notable porque Windows Installer es una aplicación legítima que se usa para instalar software”, se lee en el informe. “El uso de un componente real de Windows hace que parezca menos sospechoso y, potencialmente, le permite evitar ciertos filtros de seguridad”.

No obstante no crea que el engaño termina ahí. Una vez que ha sido instalado el malware, tendrán otros archivos que son utilizados como señuelos. Por ejemplo, viene con un script para contratar cualquier software anti malware.

Sin mencionar que para garantizar que sea difícil de detectar, viene con el modo de autodestrucción. De esta manera, una vez detectado, puede destruirse y encubrir sus actividades. Esto hace que sea bastante complicado encontrar una solución activa en el futuro.

Fuente: Cadena de infección por el malware.

Si bien Trend Micro no logró vincular nuevamente el ataque a un país especificó, observa que el instalador utiliza Cyrillic. Este es un alfabeto que ha sido bastante popular entre los cripto criminales. Por lo tanto, podría ser un último intento de desviar a los investigadores.

“Para dificultar aún más la detección y el análisis, el malware también viene con un mecanismo de autodestrucción. Borra todos los archivos en su directorio de instalación y elimina cualquier rastro de instalación en el sistema”.

El crypto jacking no es tópico reciente. Es un tema que hemos discutido antes y es probable que lo hagamos nuevamente antes de que termine el año. El proceso ocurre cuando un pirata informático toma el control de la computadora de la víctima sin su conocimiento o consentimiento y utiliza su poder de cómputo para explotar la criptomoneda.

Fuente: Una de las ventanas mostradas durante la instalación.

La mayoría de los esfuerzos de crypto jacking resultan en la extracción de nuevas monedas Monero, una de las criptomonedas más populares entre los ladrones digitales debido a sus propiedades anónimas.

El crypto jacking se ha vuelto una epidemia. De vuelta a principios de 2018, los expertos en seguridad advirtieron que se espera que las secuencias de comandos de crypto jacking proliferen en todo tipo de lugares inesperados.

Este año hemos recibido noticias de como piratas informáticos han logrado infiltrarse en el malware de criptomonedas a través de actualización de Adobe Flash, enrutadores y miles de sitios comerciales y gubernamentales.

De hecho recientemente, una universidad canadiense se vio obligada a apagar temporalmente toda su red luego de descubrir que los piratas informáticos habían robado su poder informático para minar ilegalmente Bitcoin.

Hasta el momento, no han sido ofrecidos muchos detalles sobre los hackers. La universidad reveló que volvería a poner la red en línea con un enfoque escalonado, lo cual les ayudaría a reducir el riesgo.

Otro de los casos más recientes involucra a Corea, en la cual el país del sur acusó a su contraparte del norte de hacerse cargo de varias computadoras para extraer criptografía. Una firma de ciberseguridad con sede en Estados Unidos que investigaba la situación más tarde emitió un informe que parecía verificar todo lo que Corea del Sur estaba diciendo.

Las computadoras examinadas en el estudio de la firma sugirieron que habían sido infectadas con malware diseñado para explotar Monero, y que los fondos se estaban dirigiendo a la Universidad Kim II Sung en Pyongyang, la capital de Corea del Norte.

Otro ejemplo, mencionado anteriormente, ocurrió a través de las actualizaciones de Adobe Flash que fueron infectadas con el código de minería oculta. Este código fue muy difícil de encontrar, ya que las actualizaciones de Adobe Flash funcionaron exactamente como se suponía. Las actualizaciones se realizaron sin problemas y, por lo tanto, a ninguna de las víctimas se les dio ninguna pista sobre lo que realmente estaba sucediendo. El malware fue descubierto por Palo Alto Networks, una empresa de ciberseguridad que lleva el nombre de Palo Alto en el norte de California.

Sin mencionar que el pasado mes de abril, Google trató de acabar con las extensiones de Chrome que ejecutaban scripts de minería de criptomonedas como medio para proteger a los usuarios contra el robo de criptografía. La compañía escribió en una entrada de blog:

“Aproximadamente el 90 por ciento de todas las extensiones con scripts de minería de datos que los desarrolladores han intentado cargar en Chrome Web Store no han cumplido con nuestras políticas y han sido rechazadas o eliminadas de la tienda”.

Al tomar en cuenta la escala del malware de minería de criptomonedas, no es sorprendente que los informes sugieran que los crypto hackers obtienen más de $ 250.000 al mes.

Evidentemente la impresionante velocidad con la que avanza la inteligencia detrás de este tipo de malware obliga a tomar importantes  herramientas de seguridad para defender a los usuarios de este tipo de amenazas. Por ello Trend Micro presenta algunas de soluciones contra los malware de minería.

Entre sus soluciones se encuentra Smart Protection Suites y Worry-Free Business Security, los cuales se tratan de servicios capaces de proteger a los usuarios y empresas de amenazas detectando mensajes y archivos maliciosos, así como bloqueando todas las URL maliciosas relacionadas.

Además, menciona la  solución Trend Micro ™ Deep Discovery, el cual tiene una capa de inspección de correo electrónico que puede proteger a las empresas mediante la detección de archivos adjuntos maliciosos y URL.

La entrada Malware de minería utiliza varias técnicas de evasión, incluido Windows Installer se publicó primero en Bitcoin.es tu portal de información de criptomonedas.

La entrada Malware de minería utiliza varias técnicas de evasión, incluido Windows Installer aparece primero en Que es Bitcoin.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *