Debido a que el precio del Bitcoin ha subido a más de $4000 dólares, los cibercriminales han actuado usando técnicas generalmente usadas en adware, clics fraudulentos y espionaje para alojar software de minado en computadoras comprometidas.

El último incidente ocurrió debido a una serie de descargas usadas para instalar el software de minado llamado Zminer, de acuerdo con investigadores de Netskope. 

El ejecutable es alojado usando un kit de explotación, que se conecta a servidores S3 de Amazon para obtener 2 cargas útiles llamadas Claymore CryptoNote CPU Miner y Manager.exe

Claymore es una herramienta de minado para producir Monero, una criptomoneda de código abierto enfocada en la ofuscación de su cadena de bloques, haciendo difícil rastrear la actividad.

Este administrador (Claymore) incluye instrucciones para el administrador de tareas de Windows, dijo el investigador de Netskope, Ashwin Vamshi.

Hemos observado típicamente que después de que una víctima es infectada por un kit de explotación (Neptuno, por ejemplo), la máquina de la víctima es dirigida a sitios de descargas.

Algo notable es que una vez que Zminer se activa, busca y desactiva Windows Defender agregando diversas llaves de registro en el Sistema. Vamshi dijo que Netskope no ha detectado ninguna versión de Zminer que intente deshabilitar otra herramienta antimalware o de detección.

En cuestión de red, dado que la comunicación para descargar la carga útil se realiza a través de HTTPS y que la interacción se realiza con los servicios AWS de Amazon, si el IPS de red no tiene la capacidad para inspeccionar canales de tráfico cifrado y analizar por actividad, no podrán proteger a sus clientes dijo Vamshi.

Esta semana, FireEye reportó que los atacantes han usado Neptuno para difundir el software de minado a través de publicidad maliciosa.

FireEye dijo que el kit redirige a las víctimas a través de falsos anuncios emergentes hacia páginas con exploits de HTML y Adobe Flash. Algunos sitios para convertir videos de Youtube a mp3 también se han visto implicados en estos ataques, que redirigen a un sitio para el minado de Monero.

Netskope proporcionó detalles de dos operaciones distintas, estas han conseguido $101 Moneros equivalentes a $8300 dólares y $44 Zcash aproximadamente $10,100 dólares. ZMiner mina monero en arquitecturas de 32 bits y Zcash en 64.

 “Debido a que el proceso de minado generalmente involucra gran poder computacional, el uso del CPU será dominado por el software de minado. Como resultado, las maquinas funcionarán de manera muy lenta.”, dijo Vamshi.

Netskope, ha reportado a Amazon las URL dónde se encuentran las cargas útiles de Zminer, y Vamshi dijo que están esperando una respuesta.

“Los atacantes han elegido el servicio de almacenamiento de Amazon debido a que las cargas útiles son fáciles de distribuir, además haciendo creer que vienen de una fuente confiable”.

Mientras tanto, el minado de monedas continúa, siendo una opción redituable para los cibercriminales: incluso para actores al servicio de Corea del Norte, supuestamente detrás del ataque WannaCry han utilizado el exploit para difundir Adylkuzz, un software de minado.

 “El software de minado ha permitido a cualquiera con conexión a internet y hardware adecuado minar criptomonedas y generar dinero”, declaró Vamshi. Las criptodivisas actualmente tienen un mercado global de $153 billones y va en aumento.

 “La industria de seguridad ha visto un aumento en el malware para el minado de monedas”, “solo podemos especular que el número de actores ha aumentado debido al hecho de que no es posible generar mucho dinero vía ransomware”.