Por Angel Di Matteo   @shadowargel

El malware minero Dexphot utiliza los recursos del equipo infectado para minar Monero y derivar ganancias para los atacantes.

***

Ingenieros del equipo de seguridad informática de Microsoft detallaron en un informe publicado esta semana sobre cierto malware minero Dexphot, el cual afecta a equipos con sistema operativo Windows y hace uso de los recursos computacionales del mismo para minar criptomonedas, derivando ganancias para los atacantes.

El malware minero Dexphot data desde octubre de 2018 y registró la mayor cantidad de computadores infectados en junio de este año, comprometiendo la seguridad de al menos 80.000 equipos en todo el mundo aprovechando los recursos para minar la criptomoneda Monero.

Al respecto, el analista de Microsoft Defender, Hazel Kim, comentó:

Dexphot no es el tipo de ataque que llama la atención de los medios de comunicación… Hace parte de las muchos tipos de malware que estan activos en un momento dado. Su objetivo es muy común entre las comunidades de cibercriminales: La idea es instalar un minero para monedas digitales que robe silenciosamente los recursos informáticos y derive ganancias para los atacantes.

Kim también aseguró que a diferencia de otros malwares, Dexphot eleva el nivel de complejidad del ataque y evoluciona constantemente, con la intención de evadir los sistemas de seguridad y pasar desapercibido dentro de los equipos infectados, para lo cual hace uso de técnicas polimórficas, ejecución sin archivos y mecanismos de arranque inteligente.

¿Cómo se infectan los equipos?

De acuerdo con información publicada en el informe, Dexphot figura como un tipo de malware que llega a los sistemas infectados por otra clase de virus, por lo que su instalación se da en una segunda etapa de la infección.

Los analistas detallan que todos los equipos infectados con Dexphot originalmente tenían alojado un malware llamado ICLoader, el cual aprovecha paquetes de software para pasar inadvertido o viene incluido cuando el usuario instala programas pirateados.

Una vez infectados con ICLoader, el malware descarga e instala automáticamente Dexphot, cuyo instalador es el único archivo visible dentro del equipo por un espacio muy corto de tiempo. De resto todas las operaciones de Dexphot se ejecutan de forma incógnita, impidiendo su detección por parte de los antivirus clásicos.

El informe detalla que Dexphot incluso puede aprovechar procesos legítimos en el sistema operativo de Windows para ejecutar el malware, haciendo uso de programas necesarios como msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe y powershell.exe.

Adaptándose constantemente

Sin embargo, lo que resulta más llamativo de Dexphot es que este último año introdujo una técnica llamada polimorfismo, con lo cual logra pasar inadvertido incluso para los antivirus que detectan patrones de ejecución maliciosa sin archivos.

Con este método, los operadores de Dexphot cambian los nombres del archivo y las direcciones URL utilizadas en lapsos de 20 – 30 minutos, los cuales junto a mecanismos inteligentes de persistencia, logran que los equipos se reinfecten si queda algún trazo del malware detectado por los software de seguridad.

Los investigadores detallaron que el malware es capaz de reinstalarse completamente si los administradores eliminan parte de los archivos comprometidos, incluso haciendo que el equipo se reinfecte tras el reinicio del equipo o en determinados lapsos de tiempo.

Dado el grado de sofisticación del ataque, Kim señaló que todas estas técnicas podrían estar asociadas con organismos de ciberseguridad gubernamental, las cuales hackers replicaron y adaptaron para aprovechar el poder de procesamiento de los equipos y así minar criptomonedas como Monero, cuyo énfasis en la privacidad impide hacer trazabilidad a los fondos generados.

Indicadores y recomendaciones

Para concluir, los investigadores recomiendan a las personas evitar visitar sitios web inseguros, así como la descarga de softwares piratas ya que existe una alta probabilidad de que los equipos contraigan malwares que puedan derivar en la instalación de programas mineros sin consentimiento de los usuarios.

A su vez, también recomiendan monitorear constantemente el uso de recursos informáticos por parte del equipo para detectar irregularidades. Y en caso de sospecha, hacer uso de un buen software antivirus para eliminar dichos archivos corruptos del computador.

Fuente: ZDNet / Thenextweb

Versión de Angel Di Matteo / DiarioBitcoin

Imagen de Pixabay

 

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.