Nuevos ataques de criptomalware contra Windows y Android

  • Endpoint

Mientras que el malware dirigido a Windows trata de esconderse en los ordenadores para no ser descubierto, el malware Android se presenta como una actualización de Google Play Store. Ambos ataques tratan de aprovechar la potencia de la CPU de sus víctimas para minar Monero.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Los investigadores han detectado dos nuevos ataques de malware Monero dirigidos a dispositivos Windows y Android que se ocultan o se disfrazan como actualizaciones legítimas de aplicaciones.

Quick Heal Security Labs descubrió la nueva infección "invisible" de un criptominero de Monero que intenta esconderse en PC Windows. Una vez instalado, este ejecutable autoextraíble descomprime un script VBS, una utilidad de extracción, un archivo protegido por contraseña y un archivo por lotes en el directorio C:/ProgramFiles/Windriverhost. A continuación, inicia ouyk.vbs para mantener la persistencia y xvvq.bat para mantener encendido el ordenador modificando el comando PowerCFG.
Finalmente, ejecuta el programa de minería driverhost.exe, que busca extraer Monero, mientras que xvvq.bat comprueba regularmente las herramientas de análisis y antivirus utilizando el comando de lista de tareas. Actualmente, se desconoce el vector de infección, pero Quick Heal cree que el spear phishing y el malvertising son los culpables.

Junto con los esfuerzos para evitar el análisis, Quick Heal señala que el malware de Monero también limita el uso de la CPU al 35% para la actividad minera. Dada la persistencia del malware y el límite de uso de la CPU, los usuarios pueden no encontrar problemas de rendimiento del sistema comúnmente asociados con los ataques de minería, lo que mejora la capacidad del malware de pasar desapercibido durante largos períodos de tiempo.

Por otro lado, investigadores de Fortinet han descubierto el malware Android/HiddenMiner.A! tr, que intenta infectar los dispositivos Android presentándose como una actualización de Google Play Store. Si está instalado en un emulador o máquina virtual, se apaga para evitar el análisis. Si está instalado en un dispositivo móvil, se activa y solicita privilegios de administrador. Si no se conceden, el malware continuará pidiendo permiso hasta que los usuarios permitan la instalación.

Al aparecer en Google Play Store como una actualización de la tienda, los usuarios no se muestran sorprendidos por las solicitudes de privilegios de administrador ya que la "actualización" aparentemente proviene de Google.