Falsas actualizaciones de Adobe Flash instalan criptomineros

  • Endpoint

Estas falsas actualizaciones, que han estado activas desde agosto, parecen legítimas. Instalan programas no deseados en sistemas Windows, como un minero de criptomonedas XMRig, pero este malware también puede actualizar el Flash Player de la víctima a la última versión.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Si bien las falsas actualizaciones de Flash que propagan malware han sido tradicionalmente fáciles de detectar y evitar, una nueva campaña emplea nuevos trucos que descargan sigilosamente mineros de criptomonedas en los sistemas Windows. Se trata de una falsa actualización que en realidad actualiza el Flash Player de las víctimas, pero también instala malware de criptominería.

Para el usuario medio, las muestras recién descubiertas, que han estado activas desde agosto, parecen legítimas. Los ejemplos actúan como actualizaciones de Flash, tomando prestadas notificaciones emergentes del instalador oficial de Adobe e incluso actualizando el Flash Player de la víctima a la última versión. Sin el conocimiento de las víctimas, mientras se produce la actualización de Flash legítima, un complejo minero de criptomonedas XMRig se descarga silenciosamente y se ejecuta en segundo plano en los sistemas Windows infectados.

Mientras buscaban actualizaciones de Flash falsas, los investigadores descubrieron archivos ejecutables de Windows cuyos nombres comenzaban con AdobeFlashPlayer, desde servidores web en la nube que no eran de Adobe. Las descargas siempre contienen la cadena "flashplayer_down.php?cClickid =" en la URL.

El tráfico de red durante el proceso de infección consiste principalmente en la actualización de Flash. Curiosamente, el host de Windows infectado genera una solicitud HTTP POST para [osdsoft[.]com], un dominio asociado con actualizadores o instaladores de mineros de criptomonedas. El equipo de investigación notó que los sistemas infectados pronto generaron tráfico asociado con la minería de criptomonedas XMRig a través del puerto TCP 14444.

"Esta campaña utiliza la actividad legítima para ocultar la distribución de los mineros de criptomonedas y otros programas no deseados", explica el equipo de investigación. “Las organizaciones con un filtrado web decente y usuarios educados tienen un riesgo mucho menor de infección por estas actualizaciones falsas”.