Lo Nuevo

80 mil PC’s infectadas por malware de cripto-robo: Microsoft

  • El equipo de investigación de Microsoft Defender ATP detectó una nueva variante de malware, el cual está enfocado en hurtar criptomonedas.
  • Este Malware ha infectado a aproximadamente 80 mil computadoras de escritorio en un periodo que comprende de octubre del año pasado hasta junio de este año.

El equipo de investigación que conforma a Microsoft Defender ATP compartió información relacionada a una nueva variante de malware, el cual está enfocado en hurtar monedas criptográficas, y ha infectado a aproximadamente 80 mil computadoras de escritorio.

El pasado 26 de noviembre, los investigadores de seguridad de Microsoft señalaron que el virus al cual denominaron “Dexphot”, ya se encontraba en por lo menos 80 mil dispositivos desde octubre del año pasado, alcanzando su punto máximo, el pasado junio de este año.

De acuerdo con los investigadores de Microsoft este malware retiene sus procesos genuinos del sistema, con la finalidad de encubrir sus verdaderos motivos, para así pasar inadvertido y lograr ejecutar un minero de activos digitales en el dispositivo infectado.

Una vez que los dueños de los dispositivos se percatan de la presencia del malware y tratan de eliminarlo, los servicios de supervisión y las tareas programadas desencadenan la re-infección.

“El ataque Dexphot utilizó una variedad de métodos sofisticados para evadir las soluciones de seguridad. Las capas de ofuscación, cifrado y el uso de nombres de archivos aleatorios ocultaron el proceso de instalación. Dexphot luego usó técnicas sin archivos para ejecutar código malicioso directamente en la memoria, dejando solo unos pocos rastros que se pueden usar para el análisis forense. Secuestró procesos legítimos del sistema para disfrazar la actividad maliciosa. Si no se detiene, Dexphot finalmente ejecutó un minero de criptomonedas en el dispositivo, con servicios de monitoreo y tareas programadas que desencadenan una reinfección cuando los defensores intentan eliminar el malware” indicó Microsoft.

Robo silencioso

Microsoft acotó que:

"Dexphot no es el tipo de ataque que genera la atención de los medios de comunicación; es una de las incontables campañas de malware que están activas en un momento dado. Su objetivo es muy común en los círculos cibernéticos: instalar un monedero que robe silenciosamente recursos informáticos y genere ingresos para los atacantes".

Los investigadores de Microsoft Defender ATP señalaron que el virus Dexphot, cuenta con características similares al código malicioso descubierto recientemente en los archivos de audio WAV.

En ese momento, los investigadores de BlackBerry Cylance, una empresa de software especializada en el desarrollo de programas antivirus, informó sobre el descubrimiento de este código malicioso. Este tipo de campaña de malware, en la que los hackers ocultan códigos maliciosos en archivos de apariencia común, se conoce como esteganografía.

El análisis mostró que algunos de los archivos WAV contenían código para desplegar malware con fines lucrativos y establecer acceso remoto dentro del equipo víctima.

Este nuevo tipo de infección (Dexphot), brinda la posibilidad a los ciber atacantes de dispersar mineros de la CPU en el equipo infectado de la víctima, con la finalidad de robarse los recursos de procesamiento, además de generar miles de dólares al mes, producto de la minería de divisas digitales.

Este tipo de ataques digitales, cada vez más cobran popularidad entre los hackers y ciber delincuentes, debido a que suministran una variedad de beneficios financieros mientras operan en segundo plano sin que el usuario lo sepa. Este tipo de ataque se le conoce como criptojacking.

Hackers roban Bitcoins en la darknet

En el pasado mes de octubre, la compañía de seguridad informática y principal proveedora de programas antivirus ESET, descubrió un navegador Tor troyanizado, el cual estaba únicamente diseñado para robar Bitcoins a los compradores dentro de la darknet (porción de Internet que está intencionalmente oculta a los motores de búsqueda, usa direcciones IP enmascaradas y es accesible sólo con un navegador web especial. Es parte de la Deep Web).

El falso Tor Browser estaba dirigido a usuarios en Rusia, nación donde desde 2017, se ha desempeñado en robar activos digitales de los compradores de Darknet, por medio de un intercambio de sus criptodirecciones introducidas.

Te podría interesar: