Recientemente
un grupo de investigadores descubrieron una nueva pieza de malware que infecta
los sistemas con criptomoneda o ransomware, este actúa dependiendo de la configuración
del equipo para decidir que esquema sería más rentable instalar.
Como
se sabe ya, el ransomware es un tipo de malware encargado de bloquear los
computadores, impidiendo el acceso a los datos cifrados del sistema hasta que
el usuario pague el recate para obtener la clave de descifrado de los archivos,
mientas que la minería de criptomoneda usa la potencia de la CPU del sistema
infectado para extraer monedas digitales.
Una importante compañía de seguridad rusa descubrió una nueva variante de la
familia “Rakhni ransomware”, que ahora se reestructuró con la capacidad de
minar criptomonedas.
Este
malware esta escrito en el lenguaje de programación Delphi; Rakhni se expande
usando correos de suplantación de identidad phishing con un archivo MS Word en
el archivo adjunto, al momento de la víctima abrir el archivo, este le solicita
guardar el documento y permitir el acceso para editar.
El documento se muestra con el ícono PDF, donde al hacer clic, inicia la
ejecución maliciosa en la computadora de la víctima, seguidamente proyecta un
cuadro con un mensaje de error falso al momento de la ejecución, engañando a la
víctima para que piense que falta un archivo de sistema para abrir el
documento.
El malware
empieza su análisis para hacer comprobación de anti-VM y anti-sandbox para
saber sí puede infectar el sistema sin ser descubierto. Este al saber que se
cumplen todas las condiciones sigue realizando comprobaciones para definir cual
será la carga final de infección, si es de ransomware o minero.
Si
el sistema de destino tiene una carpeta de “Bitcoin” en la sección de AppData,
este instala un ransomware, de lo contrario, este instalará un “criptomoneda
miner” si la carpeta 'Bitcoin' no existe y la máquina tiene más de dos
procesadores lógicos.
Del mismo modo, si se logra infectar el sistema con un minero, usará la utilidad MinerGate para minar las criptomonedas de Monero (XMR), Monero Original (XMO) y Dashcoin (DSH).
Del mismo modo, si se logra infectar el sistema con un minero, usará la utilidad MinerGate para minar las criptomonedas de Monero (XMR), Monero Original (XMO) y Dashcoin (DSH).
El
malware usa la utilidad CertMgr.exe para instalar certificados raíz falsos que se
hacen pasar por Microsoft Corporation y Adobe Systems Incorporated en un
intento de disfrazar al minero como un proceso confiable.