En los últimos años hemos visto cómo han ido apareciendo muchos tipos de amenazas relacionadas con las criptomonedas. Vivimos un auge importante que provocó que muchos piratas informáticos vieran en ello una buena oportunidad. Aparecieron mineros de criptomonedas, por ejemplo. También troyanos capaces de robar direcciones de las carteras. Hoy nos hacemos eco de un nuevo método para colar un minero de Monero en Windows.
Nuevo método para minar Monero en Windows
Si hablamos de una de las criptomonedas más utilizadas para minar de forma oculta, esa es Monero. Es sin duda una de las más importantes para los piratas informáticos por su sencillez a la hora de minar y no requerir un dispositivo excesivamente fuerte. Esto ha hecho que existan muchas amenazas relacionadas con esta divisa digital.
Estamos acostumbrados a ver una “lucha” entre las herramientas de seguridad y los piratas informáticos. Es cierto que nuestros antivirus y cualquier software que utilicemos para proteger nuestros sistemas han mejorado notablemente en los últimos tiempos. Están más capacitados para detectar y eliminar amenazas. Ahora bien, también hay que mencionar que los ciberdelincuentes han mejorado sus ataques para hacerlos más sofisticados.
Algo así es lo que ocurre con este nuevo método que han utilizado para introducir un minero de Monero en Windows. Como sabemos se trata del sistema operativo más utilizado en equipos de escritorio y eso hace que sean muchos los usuarios que puedan verse afectados.
Esta nueva técnica consiste en el vaciado de procesos. Básicamente lo que hacen es introducir el minero de Monero en el sistema, pero al mismo tiempo eliminan esos procesos para no ser detectados. De esta forma logra ocultar el proceso al reemplazarlo por otro secundario. Utilizan un segundo archivo que actúa como contenedor. Ese archivo no es malicioso, por lo que no es detectado por los antivirus. Sin embargo el principal, el que mina Monero, actúa libremente.
Los investigadores de seguridad de Trend Micro han descubierto un aumento considerable de esta actividad maliciosa desde el pasado mes de noviembre. Indican que ese archivo capaz de ocultar el proceso es un binario de 64 bits repleto de código malicioso, capaz de verificar ciertos argumentos y posteriormente lo verifica.
La fase de infección pasa por dos etapas
Podemos decir que la infección de malware pasa por dos etapas. En una primera realiza una operación aritmética en cadenas alfanuméricas, que según los investigadores que la examinaron la cadena alfanumérica incluye información como la dirección de la billetera de criptomonedas, que es el argumento requerido para desencadenar la actividad maliciosa.
Posteriormente, en la segunda etapa ejecuta el archivo EXE de Wakecobs. En este punto reemplaza el código malicioso de la memoria de proceso que permite que el minero se ejecute en segundo plano. A partir de ahí comienza a utilizar los recursos del sistema para minar criptomonedas.
Hay que tener en cuenta que este tipo de amenazas puede poner en riesgo el buen funcionamiento de nuestros equipos. Podrían incluso suponer problemas serios como el sobrecalentamiento o el desgaste excesivo del hardware.