En un nuevo reportaje investigativo, especialistas de la firma Trend Micro descubrieron que piratas cibernéticos modificaron el ransomware XiaoBa para realizar minería con el componente CoinHive.
Usualmente, el virus XiaoBa infecta una computadora y bloquea el acceso a sus archivos y, bajo amenaza de eliminarlos definitivamente, exige a las víctimas que realicen un pago en bitcoins para liberar sus datos. Pero, ahora, el virus incluye el código de CoinHive, el cual es insertado en los archivos HTM y HTML de la computadora infectada para ejecutar operaciones de minería de criptomonedas mientras mantenga secuestrado el equipo. Los investigadores presumen que cuando una página web es abierta o descargada, el virus inserta el complemento en el navegador.
«Recientemente descubrimos un infectante de archivos con capacidad de minería de criptomonedas y de contagio tipo worm, además de dos variantes del mismo durante nuestra investigación», aseguraron.
Identificado como XiaoBa, detectado por Trend Micro como PE_XIAOBAMINER, este malware es parecido al ransomware del mismo nombre. Parece que el código ransomware fue replanteado, añadiendo nuevas capacidades para hacerlo un minero de criptomonedas más destructivo.
El infectante de archivos puede ser considerado destructivo en cuanto a que infecta archivos binarios, manteniendo el código del recipiente intacto pero impidiendo que este se ejecute según su propósito original. Por ejemplo, cuando un archivo calc.exe infectado con XiaoBaMiner es ejecutado, este ejecutará el código del malware pero ya no podrá ejecutar la actividad que principalmente desempeñaba.
Trend Micro
CoinHive es un conocido plug-in web basado en JavaScript, que se aloja en portales y utiliza el poder de procesamiento de un equipo para hacer minería de criptomonedas. A pesar de no ser malicioso por sí mismo, y de reunir el potencial para ser un método legítimo de financiamiento de páginas web, muchos de estos portales no notifican a sus visitantes su activación y esto hace que sea percibido de forma negativa.
Además, el reporte indica que la nueva versión de XiaoBa incluye un nuevo método de infección por medio de la red local de equipos, permitiendo su diseminación a través de redes WiFi. A su vez, tiene un método altamente destructivo de infección, pues se infiltra a través de archivos de terminación exe, com, scr y pif para incrustarles el código malicioso, pero destruye estos archivos para lograrlo.
El malware se sobrepone a cualquier archivo que tenga esa extensión. Este es el único criterio que garantiza antes de ejecutar la infección, a diferencia de otros malware que usualmente buscan otras condiciones antes de infectar un archivo. También revisa todos los directorios. El virus no obviará los archivos de sistema y pueden hacerlo bastante inestable si no se lidia con él apropiadamente.
Trend Micro
Lo que aún no está claro es cuál es el medio de infección predilecto de XiaoBa, aunque una de las dos variantes tiende a contagiarse por medio de discos de almacenamiento portátil.
Usando de ejemplo uno de los casos conocidos por la firma de seguridad, se asegura que el virus tampoco se abstiene de infectar archivos de todos los tamaños sin dejar evidencia o marcadores, permitiendo infectar otros archivos similares en un solo dispositivo. Al parecer, el virus y sus infecciones múltiples consumen grandes cantidades de memoria interna.
De esta nueva variante existen dos versiones. Ambas incluyen el componente CoinHive y son capaces de desactivar las notificaciones de seguridad y administración de Windows, aunque solo una de las versiones elimina los respaldos del disco duro creados por el programa Norton Ghost, de haber sido el caso, y es capaz de bloquear el acceso a páginas web de antivirus y servicios de seguridad.
Ya por defecto, cuando fue descubierto a finales de 2017, se supo que el virus era capaz de esto y también podía modificar los registros de seguridad de una PC y permitir que otros virus infectasen el sistema, haciendo de XiaoBa una amenaza muy fuerte de la cual hay que tener cuidado.
Así, Trend Micro sugiere utilizar el software XGen para proteger los equipos de mineros maliciosos de criptomonedas, aplicado a entornos físicos (hardware), virtuales y basados en la nube.
Imagen Destacada por Elnur / stock.adobe.com
5