Ciberdelincuentes ocultan mineros de criptomonedas en programas que falsifican servicios legítimos de Windows

La compañía de ciberseguridad Kaspersky Lab ha alertado de la actividad de un grupo de ciberdelincuentes que instala mineros de criptomonedas en el ordenador de sus víctimas, camuflados dentro de un ‘software’ que falsifica programas legítimos de Windows. Gracias a esta acción, sus responsables obtuvieron siete millones de dólares en la segunda mitad del pasado año.

Kaspersky ha alertado de que los ciberdelincuentes han comenzado a usar ‘software’ de minería de criptomonedas para hacerse con divisas virtuales a costa de sus víctimas, aprovechándose del impacto significativo derivado del aumento del valor del bitcóin de 2017. En un comunicado, la compañía rusa ha explicado que estos ataques tiene un “modelo sencillo” de monetización, al igual que el ‘ransomware’.

Sin embargo, este tipo de amenazas no dañan “directamente” a los usuarios, y pueden permanecer sin ser detectadas “durante mucho tiempo”, al usar de forma “silenciosa” la potencia del ordenador infectado. El pasado mes de septiembre, Kaspersky Lab registró un aumento de mineros que se extendían por todo el mundo “de forma muy activa”, y predijo su mayor desarrollo. Las últimas investigaciones revelan que este crecimiento “no solo ha continuado, sino que también ha crecido y se ha extendido”.

MINEROS OCULTOS EN ‘SOFTWARE’

Los analistas de Kaspersky han identificado recientemente a un grupo de cibercriminales que utilizan técnicas de amenaza persistente avanzada (APT) en su arsenal de herramientas para infectar a los usuarios con mineros. Este grupo ha usado el método de vaciado de procesos, que generalmente se utiliza en ‘malware’ y que se vio en algunos ataques dirigidos, pero que “nunca antes” se había observado en ataques de minería.

A través de este tipo de ataque, se invita a la víctima a descargar e instalar un ‘software’ publicitario que, en su interior, esconde un instalador de mineros. Este instalador elimina una utilidad legítima de Windows con el objetivo de descargar el minero desde un servidor remoto. Después de su ejecución, se inicia un proceso de sistema legítimo, y el código legítimo de este proceso se convierte en código malicioso.

Como resultado, el minero opera disfrazado de tarea legítima, por lo que es “imposible” que la víctima reconozca si hay una infección, e igualmente, es “un desafío” para las soluciones de seguridad. Además, los mineros restringen la cancelación de cualquier tarea: si el usuario intenta detener el proceso, el sistema del ordenador se reiniciará. De este modo, los ciberdelincuentes consiguen proteger su presencia en el sistema “por un tiempo más prolongado y más productivo”.

5,6 MILLONES DE EUROS DE BENEFICIOS

Según ha observado Kaspersky Lab, los actores que están detrás de estos ataques han estado extrayendo monedas de Electroneum y han ganado siete millones de dólares –5,6 millones de euros, al cambio– durante la segunda mitad de 2017. De acuerdo con la compañía rusa, este importe es “comparable” al que obtienen los creadores de ‘ransomware’.

El analista principal de ‘malware’ de Kaspersky Lab, Anton Ivanov, ha comentado que, “poco a poco”, el ‘ransomware’ va “dando paso” a los mineros. Las estadísticas de la empresa de ciberseguridad muestran un “constante crecimiento” de mineros “durante todo el año”, ha añadido. El analista también ha destacado que los ciberdelincuentes están desarrollando “activamente” sus métodos”, empezando a utilizar técnicas “más sofisticadas” para difundir el ‘software’ de minería.

El pasado año, 2,7 millones de usuarios fueron víctimas de ataques de mineros maliciosos, según datos de Kaspersky Lab, una cifra que es un 50% superior a la de 2016 –1,87 millones–. Además, ha descendido el número de víctimas del ‘adware’, los juegos ‘crackeados’ y el ‘software’ ‘hackeado’ utilizado para infectar secretamente los equipos. Otro enfoque utilizado fue la minería a través de un código especial ubicado en una página web infectada, con CoinHive como el minero web más utilizado, encontrado en sitios “muy populares”.

to en Fuente: