En caso de que no esté muy familiarizado con la minería de criptomonedas, primero definamos qué es. Esencialmente, la minería es el proceso de agregar registros de transacciones a una cadena de bloques, que es como un libro de contabilidad público. Agregar esas transacciones requiere mucho poder de cómputo, por lo que muchos mineros tienen que comprar hardware especial para explotar eficientemente. Sin embargo, desafortunadamente para los usuarios normales, los ciberdelincuentes han comenzado a crear malware que usaría las computadoras de los usuarios para la minería.
Cuando una computadora está infectada con malware de minería, comienza a mostrar ciertos síntomas. Uno de los primeros que notaría es la desaceleración de su dispositivo. Debido a que este tipo de malware utiliza los recursos del dispositivo, ralentiza el dispositivo de manera bastante significativa. Puede demorarse, el programa puede tardar mucho tiempo en iniciarse o congelarse constantemente. Si está acostumbrado a usar una computadora rápida, este tipo de comportamiento será muy notable. Otra indicación importante de que su computadora está infectada con malware de minería es un proceso extraño en el Administrador de tareas. No todos los usuarios saben que cuando una computadora actúa de manera extraña, es útil verificar el Administrador de tareas, ya que puede mostrar mucha información útil. En el caso de los mineros, el Administrador de tareas mostraría un proceso (o varios procesos) utilizando una gran cantidad de su CPU, posiblemente más del 70–80%. Esta es una indicación muy clara de que está tratando con un minero.
La mayoría de las computadoras no están diseñadas para soportar un uso tan intensivo de recursos durante largos períodos de tiempo, por lo que si se deja de leer un minero, podría acortar la vida útil de la CPU. Pero por lo demás, no debería hacer daño.
¿Cuáles son los signos?
Cuando una computadora está infectada con malware de minería, comienza a mostrar ciertos síntomas. Uno de los primeros que notaría es la desaceleración de su dispositivo. Debido a que este tipo de malware utiliza los recursos del dispositivo, ralentiza el dispositivo de manera bastante significativa. Puede demorarse, el programa puede tardar mucho tiempo en iniciarse o congelarse constantemente. Si está acostumbrado a usar una computadora rápida, este tipo de comportamiento será muy notable. Otra indicación importante de que su computadora está infectada con malware de minería es un proceso extraño en el Administrador de tareas. No todos los usuarios saben que cuando una computadora actúa de manera extraña, es útil verificar el Administrador de tareas, ya que puede mostrar mucha información útil. En el caso de los mineros, el Administrador de tareas mostraría un proceso (o varios procesos) utilizando una gran cantidad de su CPU, posiblemente más del 70–80%. Esta es una indicación muy clara de que está tratando con un minero.
La mayoría de las computadoras no están diseñadas para soportar un uso tan intensivo de recursos durante largos períodos de tiempo, por lo que si se deja de leer un minero, podría acortar la vida útil de la CPU. Pero por lo demás, no debería hacer daño.
¿Cómo podrías ser explotado por un minero?
Para muchos de nosotros, Internet se ha convertido en una parte integral de nuestras vidas. Visitamos tantos sitios web diferentes que terminar en uno cuestionable no es tan inusual. Visitar ese tipo de sitios web es la cantidad de personas que terminan con malware. Es posible que aparezca un anuncio que, al hacer clic en él, lleve a sitios maliciosos, promocionando malware oculto como actualizaciones o programas legítimos. En tales casos, los delincuentes cibernéticos no necesitan hacer nada, los usuarios instalan el malware por sí mismos. Una vez que el malware está dentro, los delincuentes pueden comenzar a explotar la computadora infectada.
Analicemos, con más detalle, un caso en el que un usuario es engañado para que haga clic o descargue un archivo malicioso, más específicamente un archivo disfrazado de actualización de Adobe Flash Player. El usuario estaría visitando algún sitio web cuestionable, cuando apareciera una ventana emergente. Afirmaría que el Adobe Flash Player del usuario no está actualizado y que es necesaria una actualización. Sin darse cuenta de nada inusual, el usuario haría clic en el enlace provisto en la ventana emergente y terminaría redirigido a zipansion.com/2hJsq. Otra redirección llevaría al usuario a http://clearload.bid/-36721IUOB/2hJsq?rndad=3328358281-1533563750, luego a https://2no.co/2amqu5 y finalmente a adobeupdater.mcdir.ru. En ese dominio, se le pedirá al usuario que descargue un dmclient.exe expediente. Todos estos redireccionamientos a diferentes sitios son necesarios para recopilar datos de usuario y configurar cookies en la máquina.
Entonces la secuencia de los redireccionamientos sería:
zipansion.com → clearload.bid → 2no.co → adobeupdater.mcdir.ru
Si el usuario verificara los detalles de las propiedades del archivo, parecería que es un archivo legítimo de Microsoft, ya que la sección Descripción del archivo muestra "Comentarios de Microsoft". Aparecería así:
Derechos de autor: Corporación Microsoft. Todos los derechos reservados
Nombre del producto: Sistema operativo de Microsoft Windows
Descripción del archivo: Microsoft feedback SIUF Deployment …
Versión del archivo: 10.0.16299.15
Si el usuario verificara el archivo en virustotal.com, quedaría claro que es un troyano, ya que 44 de 68 proveedores de antivirus lo han marcado como un Trojan.agent.
Detalles del archivo:
SHA-256: c0c0d0c792a332ff1263a5f27357017381ecd5e236dfa71d7b49af7787e11c9e
MD5: 49f4504bf8c209854dc5d02a038ddbdd
Tamaño del archivo: 293KB
Cuando el usuario ejecuta el archivo, en la superficie parece que no ha pasado nada. Sin embargo, sin que el usuario lo sepa, sucederían muchas cosas en el fondo. Por un lado, una tarea con el nombre "WinInetDriver”Se crearía en el Programador de tareas.
Esta tarea se ejecutaría cada minuto con la acción “C: ProgramData {758899–1cbf42–8949–54145679012c} hostdl.exe".
Cuando el archivo se ejecuta la primera vez, envía información sobre la máquina a http://adobeupdater.mcdir.ru/gate.php.
Cuando el archivo se ejecuta de nuevo, envía información principal, como ID y estado. En la imagen de abajo, el archivo que se muestra no está habilitado y está esperando una respuesta del servidor para pasar a la etapa activa.
Si el usuario fuera a comprobar el PROGRAMACIÓN carpeta, el directorio {70196f-08d038–9718–28a47d445226} no se vería, no porque estaría oculto, sino porque un rootkit creado cuando se ejecutó dmclient.exe lo protegería.
Si el Gmer herramienta se utilizaría, el directorio sería visible y mostraría que contiene una hostdl.exe archivo, justo como se mostró el Programador de tareas.
Al mirar el archivo hostdl.exe, se puede ver que es idéntico al archivo dmclient.exe.
Una vez hostdl.exe recibe una señal de adobeupdater.mcdir.ru para ir al estado habilitado, descargaría archivos adicionales de bitbucket.org. unamd.txt y cpu.txt Los archivos serían descargados y ejecutados. Esos archivos habilitarían el minero de monedas XMRIG en el dispositivo del usuario. El dispositivo se usaría para extraer monedas criptográficas, lo que generaría ingresos para los creadores de este malware. Y el usuario ni siquiera sabría que esto está sucediendo.
Conclusión
Si bien la minería de malware no es difícil de detectar, no todos conocen los síntomas y lo que significan. Los usuarios pueden tenerlo durante semanas o incluso meses, ayudando a los delincuentes a ganar dinero fácilmente, y ni siquiera saberlo. Y con la popularidad de la criptomoneda, este tipo de malware se volverá cada vez más común. Afortunadamente, hay una manera de combatirlo con la Red ACESO. Al utilizar nuestra red de expertos, ACESO podrá proteger a los usuarios y su privacidad detectando y eliminando varias infecciones antes de que puedan hacer algo.