Los investigadores de seguridad han descubierto una interesante pieza de malware que infecta los sistemas con un criptomoneda o ransomware, dependiendo de sus configuraciones para decidir cuál de los dos esquemas podría ser más rentable.

Si bien ransomware es un tipo de malware que bloquea tu computadora y te impide acceder a los datos cifrados hasta que pagues un rescate por la clave de descifrado necesaria para descifrar tus archivos, los mineros de criptomonedas utilizan la potencia de la CPU del sistema infectado para extraer monedas digitales .

Tanto los ataques basados ​​en la minería de ransomware como criptomonedas han sido las principales amenazas en lo que va del año y comparten muchas similitudes, como que ambos son ataques no sofisticados, llevados a cabo por dinero contra usuarios no objetivo e involucran moneda digital.

Sin embargo, como bloquear una computadora para obtener un rescate no siempre garantiza una retribución en caso de que las víctimas no tengan nada esencial para perder, en los últimos meses los ciberdelincuentes se han inclinado más hacia la criptomoneda fraudulenta como método para extraer dinero usando las computadoras de las víctimas.

Investigadores de la firma de seguridad rusa Kaspersky Labs descubrieron una nueva variante de la familia Rakhni ransomware, que ahora también se ha actualizado para incluir la capacidad de minería de criptomonedas.

Escrito en lenguaje de programación Delphi, el malware Rakhni se está diseminando usando correos de suplantación de identidad phishing con un archivo MS Word en el archivo adjunto, que si se abre, le pide a la víctima que guarde el documento y permita la edición.

El documento incluye un ícono PDF, que si hace clic, inicia un ejecutable malicioso en la computadora de la víctima e inmediatamente muestra un cuadro de mensaje de error falso al momento de la ejecución, engañando a las víctimas para que piensen que falta un archivo de sistema para abrir el documento.

Cómo decide Malware qué hacer

Sin embargo, en el fondo, el malware realiza muchas comprobaciones anti-VM y anti-sandbox para decidir si podría infectar el sistema sin ser atrapado. Si se cumplen todas las condiciones, el malware realiza más comprobaciones para decidir la carga final de infección, es decir, ransomware o minero.

1.) Instala Ransomware: si el sistema de destino tiene una carpeta ‘Bitcoin’ en la sección de AppData.

Antes de cifrar archivos con el algoritmo de cifrado RSA-1024, el malware finaliza todos los procesos que coinciden con una lista predefinida de aplicaciones populares y luego muestra una nota de rescate a través de un archivo de texto.

2.) Instala la criptomoneda miner- si la carpeta ‘Bitcoin’ no existe y la máquina tiene más de dos procesadores lógicos.

Si el sistema se infecta con un minero de criptomoneda, utiliza la utilidad MinerGate para minar las criptomonedas Monero (XMR), Monero Original (XMO) y Dashcoin (DSH) en segundo plano.

certificados raíz

Además de esto, el malware usa la utilidad CertMgr.exe para instalar certificados raíz falsos que dicen haber sido emitidos por Microsoft Corporation y Adobe Systems Incorporated en un intento de disfrazar al minero como un proceso confiable.

3.) Activa el componente del gusano, si no hay una carpeta ‘Bitcoin’ y solo un procesador lógico.

Este componente ayuda al malware a copiarse en todas las computadoras ubicadas en la red local utilizando recursos compartidos.

«Para cada computadora incluida en el archivo, el troyano comprueba si la carpeta Usuarios está compartida y, de ser así, el malware se copia en la carpeta \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup de cada usuario accesible» los investigadores señalan.

Independientemente de qué infección se elija, el malware realiza una comprobación si se inicia uno de los procesos antivirus listados. Si no se encuentra un proceso AV en el sistema, el malware ejecutará varios comandos cmd en un intento de desactivar Windows Defender.

¿Qué es más? Hay una característica de Spyware también

«Otro hecho interesante es que el malware también tiene alguna funcionalidad de spyware: sus mensajes incluyen una lista de procesos en ejecución y un archivo adjunto con una captura de pantalla», dicen los investigadores.

Esta variante de malware se dirige a los usuarios principalmente en Rusia (95.5%), mientras que un pequeño número de infecciones se ha notado en Kazajstán (1.36%), Ucrania (0.57%), Alemania (0.49%) e India (0.41%) también .

La mejor manera de evitar ser víctima de tales ataques en primer lugar es nunca abrir archivos sospechosos y enlaces proporcionados en un correo electrónico. Además, siempre mantenga una buena rutina de respaldo y un software antivirus actualizado en su lugar.

Fuente: Thehackernews.com

Compartir