Dado que cada vez más ciberdelincuentes quieren sacar beneficio del minado oculto de criptomonedas, los más capaces están buscando formas de maximizar sus beneficios. Incluso llegando a matar a otros malwares de minado que hubiesen comprometido previamente el sistema del que quieren aprovecharse.
Los investigadores de la firma de seguridad Minerva Labs son los responsables de haber descubierto una nueva forma del malware de cryptojacking conocido como GhostMiner que actúa, precisamente, de esa manera.
A la caza de la competencia
Este programa malicioso busca propagarse atacando servidores WebLogic integrándose en un ejecutable de Windows y aprovechando los marcos de trabajo de PowerShell para implementar técnicas sin archivos que lo ocultan frente a algunos productos de seguridad.
Una vez aterrizado en un sistema en el que se ha infiltrado, y antes de empezar a funcionar, GhostMiner se pone a trabajar para eliminar cualquier otro malware de minado oculto de criptomonedas. Según los descubridores, mata a los mineros en ejecución mediante comandos de PowerShell, además de detener y eliminar aquellos que, por ejemplo, se ejecutan como tareas programadas o pueden detectarse revisando la lista de conexiones TCP establecidas.
En las direcciones de monederos que han podido averiguar los investigadores apenas se han generado en tres semanas 1,03 unidades de Monero, lo que serían unos 200 dólares estadounidenses. Sin embargo, aseguran que “es altamente plausible que haya otras direcciones usadas en esta campaña, indetectables debido a las características de anonimato de Monero”.
El descubrimiento de esta nueva forma de GhostMiner ha permitido a los profesionales de la firma crear una versión modificada de la herramienta que emplea el malware para eliminar a la competencia y proporcionarla a equipos de respuesta a incidentes para que puedan escribir sus propios scripts PowerShell con los que eliminar mineros maliciosos. No hay mal que por bien no venga.