El equipo de investigación de amenazas de Sonicwall Capture Labs, ha analizado varios esquemas maliciosos en línea relacionados con el coronavirus ya que cada vez más personas se conectan en línea desde su hogar con medidas de seguridad típicamente más relajadas, situación que los cibercriminales están aprovechando.
Zoom se ha vuelto tan popular que es una de las aplicaciones de software más descargadas, sin embargo, el equipo de SonicWall descubrió un instalador malicioso incluido con un minero de criptomonedas (Cryptominer) que ha estado circulando en línea aprovechando a los usuarios desprevenidos que desean instalar este programa de videoconferencia.
Cryptomining malware, o malware de minería de criptomonedas o simplemente cryptojacking, es un término relativamente nuevo que se refiere a programas de software y componentes de malware desarrollados para tomar los recursos de una computadora y usarlos para la minería de criptomonedas sin el permiso explícito del usuario.
Los ciberdelincuentes han recurrido cada vez más al malware de criptominería como una forma de aprovechar el poder de procesamiento de grandes cantidades de computadoras, teléfonos inteligentes y otros dispositivos electrónicos para ayudarlos a generar ingresos de la minería de criptomonedas.
Aunque en México los ataques de Cryptomining no son tan usuales, el equipo de SonicWall recomienda fortalecer los sistemas de seguridad, ya que de acuerdo con un análisis de la semana pasada del Security Center de SonicWall, México se encuentra entre los primeros países con ataques de Ramsomware en general con un 2% de ataques registrados en América del Norte, antecedido por Canadá con el 9%, y Estados Unidos con el 89%.
Ciclo de infección de Cryptomining en Zoom
El troyano utiliza el ícono Zoom y viene como un instalador compilado de Autoit.
Tras la ejecución, deja caer un instalador legítimo de Zoom y un cryptominer en los siguientes directorios:
- Temp% Zoominstaller.exe (instalador legítimo)
- Appdata% Roaming Microsot Windows helper.exe (cryptominer)
Luego ejecutará el instalador legítimo de Zoom y aparecerá una ventana emergente para solicitar al usuario la instalación del programa.
Mientras tanto, agrega helper.exe como una tarea programada de “Comprobación del sistema” y luego la ejecuta. Tras la ejecución de helper.exe, crea un directorio “Tor” dentro de la carpeta% Appdata% Roaming Microsoft Windows y suelta los componentes de un cliente Tor.
Una vez que finaliza una sesión de minería, el directorio Tor se elimina y se volverá a crear en la ejecución posterior, dejando muy poca evidencia de infección.