En los últimos seis meses, aproximadamente 644.000 computadoras han sido atacadas cada mes por malwares mineros, según un informe presentado por Windows Defender Research esta semana. Los ataques “troyanizados” han sido perpetrados utilizando múltiples tácticas para lograr la infección.
De acuerdo a Microsoft Secure, desde septiembre de 2017 hasta enero de 2018 ha ocurrido un incremento en ataques “troyanizados” de minería que coincide con una disminución del volumen de ataques de ransomware. Hecho que, consideran, puede relacionarse a un cambio de enfoque por parte de los hackers para monetizar sus actividades con criptomonedas.
Los ataques son catalogados como troyanizados por la forma en la que operan los programas maliciosos, ya que son similares a los troyanos bancarios. Sin embargo, estos incluyen algunas variantes como “el uso de exploits o malware autodistribuido”: exploit es un fragmento de código que se aprovecha las vulnerabilidades de seguridad de un sistema.
Es importante destacar que el informe advierte de dos tipos de tácticas mediante las cuales están siendo instalados kits que ejecutan mineros. La primera es un archivo descargable de Word -detectado como troyano- que ejecuta una versión modificada del minero XMRig, la cual extrae la criptomoneda privada Monero. Mientras que la segunda es un archivo llamado “flashupdate”, que se enmascara como Flash Player y se descarga desde enlaces en campañas de spam y sitios web maliciosos de la cadena “flashplayer”. Este segundo archivo también ejecuta una versión de XMRig.
Asimismo, otras formas de ataque para la extracción de monedas incluyen inyecciones de código en archivos notepad.exe y scripts de PowerShell maliciosos que agregan una “tarea programada para que (la minería) se ejecute cada vez que se inicia la computadora”.
Cryptojacking y minería no autorizada
Al igual que reportó la firma de seguridad RedLock, Windows Defender también destaca que el Cryptojacking también se ha “intensificado” como tendencia en cuanto a los delitos informáticos. Esto ha ocurrido especialmente en sitios web falsos de soporte técnico que dificultan el cierre del navegador porque se está ejecutando un script minero en segundo plano, haciéndose con los recursos de la computadora; y también en páginas de reproducción de vídeos, como el caso de YouTube, en donde fue reportado el uso del software CoinHive.
Hay que tener en cuenta que Cryptojacking, que proviene de cryptography (criptografía) y hijack (secuestro), es el uso no autorizado de computadoras o smartphones para minar criptomonedas.
Por otro lado, existe la minería web legítima, pero realizada sin la autorización oficial de los sitios involucrados. Este tipo de minería no autorizada también genera criptomonedas a expensas de los procesadores de los visitantes de la página, aún cuando está cerrado el navegador. Esta situación ha generado molestias en los cibernautas, al mismo tiempo que ha despertado un debate, al ser comparados los mineros web con la publicidad como forma de generar ingresos en línea.
El minado web está en boga, y dejando de lado sus usos maliciosos, se ha convertido en un modelo de negocio para portales en línea como Salon.com, quienes se han sumado a la onda de CoinHive pero con consentimiento de sus usuarios.
