Los ataques de criptomining han crecido y evolucionado en 2018. Debido al aumento en el valor y la popularidad de las criptomonedas, los hackers están cada vez más motivados a explotar a sus victimas de criptomining. Se ha evidenciado un aumento significativo tanto en los informes como en el número de ataques. No solo eso, sino que los métodos y técnicas de ataque continúan mejorando y no parece haber fin.
Los investigadores de seguridad informática de la firma Check Point han detectado una variante de un malware de minería llamado KingMiner. Este malware está programado para utilizar la totalidad de la potencia de las CPUs de los usuarios cuyos ordenadores están conectados a servidores de Windows.
En concreto, el malware está dirigido a los servidores de Microsoft ‘ISL/SQL’, utilizando una técnica criptográfica llamada ‘Ataque de fuerza bruta’. Este ataque consiste en probar todas las combinaciones posibles de una clave hasta hallar la que permita acceder al servidor para comprometerlo. Una vez obtenido el acceso, el malware se descarga y luego ejecuta un archivo ‘.sct’ en el ordenador del usuario.
Seguidamente el malware detecta el tipo de CPU instalado y sus specs, y descarga un software compatible con el hardware. Al mismo tiempo verifica que la maquina en cuestión no tenga otro malware o software de minería, y si lo encuentra lo elimina. Esto con el fin de garantizar la totalidad de los recursos para el mismo.
Cuando la carga útil es descargada en el equipo, el malware ejecuta un minero de Monero (XMR) que, pese a estar programado para utilizar el 75% de la CPU, en realidad usa el 100% . Para realizar el ataque de mineria, KingMiner hace uso del software XMRIG, junto a un config personalizado que apunta a una pool privada con API deshabilitada.
Un ataque altamente efectivo
KingMiner además implementa varias defensas contra los entornos de emulación y detección, registrando bajas tasas de detección con algunos motores antivirus mediante el uso de una carga útil XML disfrazada de un archivo ZIP.
«El uso de técnicas de evasión es un componente importante de un ataque exitoso», dice CheckPoint, y agrega que el malware utiliza técnicas simples para evitar los métodos de emulación y detección.
En el transcurso de tres meses, de junio a octubre, KingMiner continuó mejorando al pasar a una carga útil confusa y un archivo de configuración modificado para el minero.
KingMiner fue detectado por primera vez en junio pasado, sin embargo, esta nueva variante del malware ha sido mejorada para evitar la detección de la amenaza. Pese a ello, el equipo de Check Point ha afirmado que pudo rastrear algunos ataques en Noruega, Israel, India y México.
Por ahora, los investigadores no han podido identificar a los autores del malware, debido a que los hackers han desactivado la API del malware para evitar que se investiguen más características del ataque. Por su parte, la cartera donde los hackers reciben los fondos producto de las acciones del malware minero no se ha utilizado en ningún grupo público de minería, lo que ha evitado conocer cuántas criptomonedas se han minado en estos ataques.
