Un virus que decide si su computadora será atacada con cryptojacking o con ransomware

Share this…

 

Especialistas en pruebas de penetración descubrieron un fragmento de malware que infecta los sistemas con programas de minería de criptomoneda o ransomware, dependiendo de las  especificaciones del equipo, para decidir cuál de los dos esquemas podría ser más rentable.

Mientras el ransomware es un tipo de malware que bloquea una computadora e impide acceder a los datos cifrados hasta que se pague un rescate para remover la encriptación de los archivos, la minería de criptomonedas utilizan la potencia de la CPU del sistema infectado para extraer monedas virtuales, un ataque conocido como cryptojacking.

De acuerdo a expertos en pruebas de penetración, tanto los ataques de cryptojacking y de ransomware se han consolidado como las principales amenazas informáticas en lo que va del año y comparten muchas similitudes; ninguno de estos ataques requiere de procesos sofisticados, y tienen que ver con operaciones realizadas con criptomonedas.

De cualquier modo, dado que bloquear una computadora para obtener un rescate no siempre garantiza una retribución si las víctimas no están interesadas en recuperar su información, en los últimos meses los hackers se han inclinado más hacia los fraudes que envuelven a las diversas criptomonedas como método para extraer dinero utilizando los equipos de las víctimas.

Investigadores en pruebas de penetración de la firma de seguridad rusa Kaspersky Labs descubrieron una nueva variante del ransomware Rakhni, ahora dotado de capacidad para ataques de cryptojacking.

Escrito en lenguaje de programación Delphi, este es esparcido mediante phishing con un correo que incluye un archivo de Microsoft Word adjunto, que si se abre, le pide a la víctima que guarde el documento y permita la edición.

El documento incluye un ícono PDF, si se interactúa con éste, ejecuta un programa malicioso en la computadora de la víctima y muestra un mensaje de error falso al momento de la ejecución, engañando a las víctimas para que piensen que falta un archivo de sistema para abrir el documento.

Cómo es que el malware decide qué hacer

En tanto esto pasa en primer plano, en el fondo el malware comprueba si puede ser ejecutado sin detección. Si se cumplen todas las condiciones, el malware realiza más revisiones en el sistema para decidir si infecta con ransomware o con el software minero.

  1. Instalación de Ransomware

Se instala el ransomware si el sistema atacado tiene una carpeta de Bitcoin. Antes de encriptar archivos con el algoritmo de cifrado RSA-1024, el malware finaliza todos los procesos que coinciden con una lista predefinida de aplicaciones populares y luego muestra una nota de rescate a través de un archivo de texto.

  1. Instalación de programa minero

Se instala el minero de criptomoneda si el equipo tiene más de dos procesadores lógicos. Para esto, los atacantes utilizan la herramienta MinerGate para minar Monero (XMR), Monero Original (XMO) y Dashcoin (DSH) en segundo plano.

Además, en el ataque se usa CertMgr.exe para instalar certificados raíz falsos presuntamente emitidos por Microsoft Corporation y Adobe Systems Incorporated en un intento de hacer pasar la instalación del malware como un proceso confiable.

Independientemente de qué infección se elija instalar, el malware comprobará si se inicia algún proceso del antivirus. Si no se encuentra un proceso del antivirus en el sistema, el malware ejecutará varios comandos en un intento de desactivar Windows Defender.

Además hay características de spyware también

Acorde a los investigadores que descubrieron esto, el malware también funciona como spyware. Esta variante de malware ha sido principalmente utilizada en Rusia, incluyendo una serie reportes de ataques similares en países como Ucrania, Alemania, Kazajistán e India.

La mejor manera de evitar ser víctima de tales ataques en primer lugar es nunca abrir archivos sospechosos y enlaces proporcionados por un correo electrónico. Además, siempre mantenga una buena rutina de respaldo y un antivirus actualizado.