Coinhive, el azote de los internautas

El minado de criptomonedas se ha convertido en un gran negocio, sobre todo cuando no se tiene que invertir en el costoso hardware que permite ejecutarlo. El crytojacking consiste en robar capacidad de cómputo para realizar la tarea.

Desde enero de 2018, SonicWall ha registrado más de 5,6 millones de visitas de Coinhive en uso. En un caso, hubo más de 336,000 intentos de Coinhive en un solo día.

Según el informe de SonicWall, uno de los intentos de Cryptojacking es minar Monero comprometiendo terminales Android a través de privilegios de administrador. Si no se otorgan los privilegios, el malware usa ventanas emergentes para solicitar repetidamente acceso de administrador hasta que se conceda. Es difícil deshacerse de este malware si se otorgan derechos de administrador en caso de infección.

Otra técnica es ocultar el malware dentro de un archivo de imagen. A primera vista, la imagen parece inofensiva. Tras una inspección más a fondo, el formato de archivo de imagen PNG oculta un archivo ejecutable (ELF). Al extraer este archivo ejecutable, los investigadores de amenazas de SonicWall descubrieron el minero de criptomonedas XMRig Monero.
A finales de junio de 2018, SonicWall Capture Labs observó un adware denominado PBot. Esta versión tiene agregada la funcionalidad de robo de criptomoneda de su víctima. El adware PBot no solo sirve anuncios y redirige las sesiones del navegador (un comportamiento común del adware), sino que también busca señales de que la víctima podría estar ejecutando transacciones de criptomonedas en línea. Una vez que identifica el sitio web en el que se encuentra la víctima, superpone una imagen gif que hace que parezca que el sitio web sigue cargando contenido.

Sin embargo, en segundo plano, el adware PBot intentará robar y enviar monedas virtuales a direcciones codificadas. Esta versión del adware parece apuntar a bitcoin (BTC), efectivo de Bitcoin (BCH) y Ethereum (ETH).