Por desgracia, otra amenaza se cierne sobre los usuarios de las distintas criptomonedas. Y esta vez incluso sobre quienes tienen la capacidad de minarlas. Además del famoso Armada Collective, cuyas extorsiones suelen ser en bitcoins, ya existen distintos tipos de virus informáticos diseñados para intentar robar criptomonedas. El troyano Dridex se está convirtiendo en uno de ellos, y ahora le acompaña en esta carrera ilegal el Mal/Miner C.
Attila Marosi, investigador de seguridad de SophosLabs, ha publicado recientemente un informe donde investiga esta amenaza. En él se describe al Miner C como un programa malicioso que, tras infectar la computadora, se guarda en ella con un ícono de carpeta de Windows. Al abrir este ícono falso que puede tener el nombre de Photo.scr el usuario no sabe que está ejecutando un archivo NSIS (ejecutable de scripts), que descarga los archivos del Miner C. Una vez instalado, este comenzará a utilizar los recursos de la computadora infectada para minar criptomonedas, más específicamente, para minar Monero (XMR) a través de moneropool.com, el principal grupo de minería al que acude. Luego, los envía a la cartera del hacker.
Por supuesto, en un solo ordenador no será capaz de minar demasiados, pero su intención es utilizar los recursos de miles de ordenadores. Con esta técnica, se calcula que el virus ha logrado obtener un poder de procesamiento de 431Kh/s, generando unos 327,7 XMR por día, equivalentes a 428 euros, según los cálculos de la investigación para el momento en que fue hecha, y que los criminales tras el programa ya han sido capaces de hacerse con aproximadamente 76,660 euros, cifra que de seguro ha cambiado drásticamente luego del aumento de más de 100% en el valor de la criptomoneda.
Igualmente, la investigación ha revelado que, si bien no son los únicos, los discos duros de Seagate son los más afectados por el Miner C.
La elección de Monero en lugar de Bitcoin se debe a que minar esta altcoin es mucho más sencillo. Además, como ya hemos tratado antes, parece ser la favorita de los bajos fondos por su estricta privacidad y anonimato de transacciones.
¿Qué se puede hacer?
Al igual que con Dridex, lo mejor que pueden hacer los usuarios es mantener un buen antivirus actualizado y funcionando en sus equipos, pero también conviene evitar ciertas acciones. Las formas en que puede contraerse el Mal/Miner C son a través de descargas de sitios cuestionables, correo basura, medios externos (como memorias USB), falsas actualizaciones y archivos infectados que llegan a través del P2P.
Por otra parte, también tiene una peligrosa función que le permite saber cuando la minería en el equipo ha dejado de ser aprovechable, y es entonces cuando envía ransomware a su víctima. Es decir que saboteará todo el sistema hasta que obtenga un rescate para liberarlo. Otro síntoma también es la aparición de archivos misteriosos que antes, en definitiva, no estaban allí. Por ello hay que estar atento a cualquier cambio inusual en el ordenador.
Cabe mencionar, por último, que no todos los ordenadores están capacitados para la minería de criptomonedas. Por tanto, el Miner C está especialmente dirigido hacia los que cuentan con excelentes recursos en sus CPU y en sus tarjetas de video (GPUs), que son capaces de incrementar y acelerar el proceso de minería. Los usuarios de estos equipos son quienes más deben tomar precauciones.
5