Consiguen esconder malware para minar criptomonedas en archivos de instalación de Windows

 

‌‌‌


El malware que utiliza los recursos de tu ordenador para minar criptomonedas está muy lejos de desaparecer. Mientras que la mayoría de este malware se ejecuta en el navegador web, Trend Micro ha descubierto un uevo tipo que se camufla dentro de archivos de instalación de Windows en formato .MSI.

Un nuevo malware se camufla como un archivo de instalación de Windows

Los métodos de detección de este tipo de malware son cada vez más avanzados, por lo que los hackers intentan hacerlos cada vez más complejos para ocultarlos. Por ello, han recurrido al formato MSI, que es el formato de instalación de paquetes de Windows, y así se hacen pasar por paquetes legítimos.

minar criptomonedas malware

Este Coinminer estaba diseñado específicamente para no ser detectado mediante diversos métodos de ofuscación. El hecho de usar el formato MSI da una mayor sensación de seguridad al usuario. Al instalarse, en la ruta de destino sólo encontramos varios archivos que hacen de señuelo.

Estos archivos son uno en formato .bat, que cierra todos los servicios relacionados con el antivirus; un .exe, que es un descompresor de un tercer archivo .ico, que en realidad es un zip protegido por contraseña. Al descomprimir ese .ico, encontramos un archivo .ocx, que es módulo que descifra e instala el módulo para minar criptomonedas, y un .bin, que es el módulo para minar propiamente dicho.

El malware tiene un módulo de autodestrucción para no dejar rastro
Para evitar aún más su detección, el malware crea copias de los archivos de Windows ntdll.dll y user32.dll, probablemente para evitar la detección de la API del malware. En todo el proceso de instalación el idioma usado es ruso, por lo que nos hacemos una idea de cuál puede ser el origen del malware.

Como el mejor espía, el malware tiene un mecanismo de autodestrucción para no dejar rastro de su presencia en el ordenador, incluyendo archivos o directorios que haya creado. El dominio donde se almacenan los archivos es %AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server.

Este tipo de malware no ha parado de crecer en lo que llevamos de año, y está presente en cualquier tipo de dispositivo que tenga capacidad de procesamiento, incluyendo routers, actualizaciones de Flash, webs que teóricamente son legítimas, anuncios, etc.

 

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies