Después de mucho tiempo activo, el script de minado de criptomoneda conocido como Coinhive por fin dejó de ser un problema para los administradores de sistemas y visitantes de sitios web. No obstante, el cryptojacking sigue siendo una de las principales amenazas de ciberseguridad. Especialistas en auditorías en sistemas han descubierto una nueva variante de malware que se aprovecha del hardware de las víctimas para minar activos virtuales.
Los investigadores de la firma de seguridad Trend Micro detectaron un malware capaz de explotar múltiples servidores web y realizar ataques de fuerza bruta para instalar XMRing, un software de minado de la criptomoneda Monero. El malware, conocido como BlackSquid, fue identificado el pasado mes de mayo, principalmente atacando servidores América Latina, Estados Unidos y en países asiáticos como Tailandia.
“Llamamos a este malware BlackSquid (calamar negro) debido a que descubrimos que emplea ocho vulnerabilidades conocidas, entre las que destacan EternalBlue, DoublePulsar, tres fallas de seguridad de servidores y tres vulnerabilidades de aplicaciones web”, mencionan los especialistas en auditorías en sistemas.
La característica más peligrosa de BlackSquid es que emplea múltiples tácticas para mantenerse oculto, como la función de anti virtualización, anti depuración y anti sandbox, todo antes de completar su instalación; en otras palabras, el malware sólo se instalará si puede confirmar que ha evitado la detección.
Por si no fuese suficiente, los expertos aseguran que, una vez que el malware infecta un sistema, éste tratará de propagarse hacia otros sistemas en la red para hacer más grande la infección y, por tanto, las ganancias para los cryptojackers.
Los expertos en auditorías en sistemas mencionan que BlackSquid llega a los sistemas comprometidos a través de páginas infectadas servidores comprometidos o unidades extraíbles, como USBs infectadas. Si logra esquivar la detección, BlackSquid instala una versión del script de minado XMRig; posteriormente, el malware escanea el sistema infectado para buscar una tarjeta de video. Las unidades de procesamiento gráfico son uno de los elementos más atacados por el malware de minado, por lo que si se detecta una, se ejecuta un segundo componente de XMRig para abusar de todos los recursos de hardware del sistema.
Debido al comportamiento mostrado hasta ahora, especialistas del Instituto Internacional de Seguridad Cibernética (IICS) consideran que el malware aún se encuentra en etapa de pruebas, pues el código aún puede ser modificado para expandir las capacidades de BlackSquid.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
