Intento de criptominería masiva detectada en medio millón de computadoras
Microsoft ha detectado una campaña masiva y generalizada que habría afectado a decenas de miles de máquinas.
El gigante del software informó que el 6 de marzo, "Windows Defender AV bloqueó más de 80,000 instancias de varios troyanos sofisticados que exhibieron técnicas avanzadas de inyección de procesos cruzados, mecanismos de persistencia y métodos de evasión". Los troyanos, que son nuevas variantes de Dofoil (también conocido como Smoke Loader), llevan una carga útil de minador de monedas. "En las siguientes 12 horas, se registraron más de 400,000 nuevas instancias, 73% de las cuales se encontraban en Rusia; Turquía representó 18% y Ucrania 4%", afirmó Microsoft.
Dofoil usa una aplicación de minería personalizada que admite una función llamada NiceHash, lo que significa que puede extraer diferentes criptomonedas. Las muestras que analizó Microsoft extrajeron monedas Electroneum. Se metió en los sistemas usando un proceso llamado proceso de vaciamiento (hollowing).
"El vaciado de procesos es una técnica de inyección de código que implica generar una nueva instancia de proceso legítimo... y luego reemplazar el código legítimo con malware", explicó en un blog Mark Simos, arquitecto principal de ciberseguridad para el grupo de ciberseguridad empresarial de Microsoft. "El proceso vacío explorer.exe después hace girar una segunda instancia maliciosa, que cae y ejecuta al malware de minería de moneda enmascarado como un binario legítimo de Windows".
El ataque fue recogido gracias a su uso de un mecanismo de persistencia inusual, que desencadenó alertas basadas en el comportamiento. Para el malware de minador de monedas, se requiere permanecer sin detectar durante largos períodos para extraer las suficientes monedas como para que el ataque valga la pena.
En este caso, Dofoil modifica el registro.
"El proceso vacío explorer.exe crea una copia del malware original en la carpeta Roaming AppData y lo renombra a ditereah.exe", dijo Simos. "Luego crea una clave de registro o modifica una existente para apuntar a la copia de malware recientemente creada. En la muestra que analizamos, el malware modificó la clave OneDrive Run".
Dofoil es la última familia de malware que incorpora mineros de monedas en ataques; se está convirtiendo en una carga popular gracias al vertiginoso valor de Bitcoin y otras criptomonedas. Los kits de exploits ahora están entregando mineros de monedas en lugar de ransomware, los estafadores están agregando guiones de minería de monedas en sitios web falsos de soporte técnico, y algunos troyanos bancarios han agregado un comportamiento de minería de monedas a sus bolsas de trucos.