Clicky

Virus decide si tu computadora es buena para minería o ransomware

virus Rakhni

Nueva variante de la familia Rakhni ransomware

Investigadores de seguridad han descubierto una interesante pieza de malware que infecta los sistemas con minería de criptomonedas o ransomware, dependiendo de sus configuraciones para decidir cuál de los dos esquemas podría ser más rentable.

Si bien ransomware es un tipo de malware que bloquea tu computadora y te impide acceder a los datos cifrados hasta que pagues un rescate por la clave de descifrado necesaria para descifrar tus archivos, los mineros de criptomonedas utilizan la potencia de la CPU del sistema infectado para extraer monedas digitales.

Tanto los ataques basados en ransomware como en la minería de criptomonedas han sido las principales amenazas en lo que va del año y comparten muchas similitudes, como que ambos son ataques no sofisticados, llevados a cabo por dinero contra usuarios no objetivo e involucran moneda digital.

Sin embargo, bloquear una computadora para obtener un rescate no siempre garantiza una retribución en caso de que las víctimas no tengan nada esencial que perder, en los últimos meses los ciberdelincuentes se han inclinado más hacia la criptomoneda fraudulenta como método para extraer dinero usando las computadoras de las víctimas.

Investigadores de la firma de seguridad rusa Kaspersky Labs descubrieron una nueva variante de la familia Rakhni ransomware, que ahora también se ha actualizado para incluir la capacidad de minería de criptomonedas.

Escrito en lenguaje de programación Delphi, el malware Rakhni se está diseminando usando correos phishing de suplantación de identidad con un archivo MS Word en el archivo adjunto que, si se abre, le pide a la víctima que guarde el documento y permita la edición.

El documento incluye un ícono PDF, que si hace clic, inicia un ejecutable malicioso en la computadora de la víctima e inmediatamente muestra un cuadro de falso mensaje de error al momento de la ejecución, engañando a las víctimas para que piensen que falta un archivo de sistema para abrir el documento.

PDF ejecutable

Cómo decide el Malware qué hacer

Sin embargo, en el fondo, el malware realiza muchas comprobaciones anti-VM y anti-sandbox para decidir si podría infectar el sistema sin ser atrapado. Si se cumplen todas las condiciones, el malware realiza más comprobaciones para decidir la carga final de infección, es decir, ransomware o minero.

1.) Instala Ransomware - Si el sistema de destino tiene una carpeta 'Bitcoin' en la sección de AppData.

Antes de cifrar archivos con el algoritmo de cifrado RSA-1024, el malware finaliza todos los procesos que coinciden con una lista predefinida de aplicaciones populares y luego muestra una nota de rescate a través de un archivo de texto.

2.) Instala el minero de criptomonedas - Si la carpeta 'Bitcoin' no existe y el equipo tiene más de dos procesadores lógicos.

Si el sistema se infecta con un minero de criptomonedas, utiliza la utilidad MinerGate para minar en segundo plano las criptomonedas Monero (XMR), Monero Original (XMO) y Dashcoin (DSH).

Además de esto, el malware usa la utilidad CertMgr.exe para instalar certificados raíz falsos que dicen haber sido emitidos por Microsoft Corporation y Adobe Systems Incorporated en un intento de disfrazar al minero como un proceso confiable.

certificados falsos

3.) Activa el componente del gusano - Si no hay una carpeta 'Bitcoin' y solo un procesador lógico.

Este componente ayuda al malware a copiarse en todas las computadoras ubicadas en la red local utilizando recursos compartidos.

"Para cada computadora incluida en el archivo, el troyano comprueba si la carpeta Usuarios está compartida y, de ser así, el malware se copia en la carpeta \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup de cada usuario accesible", señalan los investigadores.

Independientemente de qué infección se elija, el malware realiza una comprobación si se inicia uno de los procesos antivirus listados. Si no se encuentra un proceso AV en el sistema, el malware ejecutará varios comandos cmd en un intento de desactivar Windows Defender.

¿Qué más tiene? También hay una característica de Spyware

"Otro hecho interesante es que el malware también tiene alguna funcionalidad de spyware: sus mensajes incluyen una lista de procesos en ejecución y un archivo adjunto con una captura de pantalla", dicen los investigadores.

Esta variante de malware se dirige a los usuarios principalmente en Rusia (95.5%), mientras que un pequeño número de infecciones se ha notado también en Kazajstán (1.36%), Ucrania (0.57%), Alemania (0.49%) e India (0.41%).

En primer lugar, la mejor manera de evitar ser víctima de tales ataques es nunca abrir archivos sospechosos y enlaces proporcionados en un correo electrónico. Además, siempre mantener una buena rutina de respaldo y un software antivirus actualizado.

Jesus_Caceres