Campaña de Cryptojacking Identificada
La firma de ciberseguridad Darktrace ha identificado una nueva campaña de cryptojacking diseñada para eludir Windows Defender y desplegar software de minería de criptomonedas. Esta campaña, detectada por primera vez a finales de julio, involucra una cadena de infección de múltiples etapas que secuestra silenciosamente la potencia de procesamiento de una computadora para minar criptomonedas.
Detalles de la Infección
Los investigadores de Darktrace, Keanna Grelicha y Tara Gould, explicaron en un informe compartido con crypto.news que la campaña se dirige específicamente a sistemas basados en Windows, aprovechando PowerShell, el shell de línea de comandos y lenguaje de scripting integrado de Microsoft. A través de PowerShell, los actores maliciosos pueden ejecutar scripts dañinos y obtener acceso privilegiado al sistema anfitrión.
Estos scripts están diseñados para ejecutarse directamente en la memoria del sistema (RAM), lo que impide que las herramientas antivirus tradicionales, que normalmente dependen de escanear archivos en los discos duros, detecten el proceso malicioso.
Inyección de Cargador Malicioso
Posteriormente, los atacantes utilizan el lenguaje de programación AutoIt, una herramienta de Windows comúnmente empleada por profesionales de TI para automatizar tareas, para inyectar un cargador malicioso en un proceso legítimo de Windows. Este cargador descarga y ejecuta un programa de minería de criptomonedas sin dejar rastros evidentes en el sistema.
Como medida de defensa adicional, el cargador está programado para realizar una serie de verificaciones del entorno, como escanear en busca de signos de un entorno sandbox e inspeccionar el anfitrión en busca de productos antivirus instalados. La ejecución solo procede si Windows Defender es la única protección activa. Además, si la cuenta de usuario infectada carece de privilegios administrativos, el programa intenta eludir el Control de Cuentas de Usuario para obtener acceso elevado.
Descarga y Ejecución de NBMiner
Cuando se cumplen estas condiciones, el programa descarga y ejecuta NBMiner, una herramienta de minería de criptomonedas bien conocida que utiliza la unidad de procesamiento gráfico de una computadora para minar criptomonedas como Ravencoin (RVN) y Monero (XMR).
Medidas de Contención
En este caso, Darktrace pudo contener el ataque utilizando su sistema de Respuesta Autónoma, que impidió que el dispositivo estableciera conexiones salientes y bloqueó conexiones específicas a puntos finales sospechosos.
“A medida que la criptomoneda continúa creciendo en popularidad, como se observa con la alta valoración actual de la capitalización del mercado global de criptomonedas (casi USD 4 billones en el momento de escribir), los actores de amenazas seguirán viendo la minería de criptomonedas como una empresa rentable”, escribieron los investigadores de Darktrace.
Campañas de Ingeniería Social
En julio, Darktrace también señaló una campaña separada en la que los actores maliciosos utilizaban tácticas complejas de ingeniería social, haciéndose pasar por empresas reales para engañar a los usuarios y hacer que descargaran software alterado que desplegaba malware para robar criptomonedas. A diferencia del esquema de cryptojacking mencionado anteriormente, este enfoque se dirigió tanto a sistemas Windows como macOS y fue ejecutado por las propias víctimas, quienes creían que estaban interactuando con personas de la empresa.
