Cryptojackers: la nueva amenaza

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Con la creciente popularidad de las criptomonedas, el número de piezas de malware que se denominan cryptojackers también crece y contagia a más y más víctimas.

Los cryptojackers son mineros de criptomoneda ocultos que se instalan en secreto en las computadoras.

Utilizan recursos informáticos para extraer monedas y, por lo tanto, ganar dinero para los ciberdelincuentes. Estos virus también se llaman cryptominers.

Uno de los problemas con los cryptojackers es que sus actividades dañinas pueden detectarse fácilmente debido al uso intensivo de la CPU.

Para complicar la detección del proceso fraudulento que se ejecuta en segundo plano (y que utiliza mucha potencia del procesador), una nueva variante de cryptojacker intenta ocultar su presencia con la ayuda de un rootkit.

Por ahora, solo los sistemas Linux son atacados por este malware.

Esta nueva combinación de rootkit y crypotminer aún influye en el rendimiento del procesador y lo ralentiza. Sin embargo, los administradores del sistema no pueden determinar qué proceso exacto está causando esta actividad.

Esta vez dicen que el cryptojacker llamado Coinminer.Linux.KORKERDS.AB va incluido con el rootkit llamado Rootkit.Linux.KORKERDS.AA.

El nuevo combo-malware es capaz de actualizarse y actualizarse, así como su archivo de configuración sobre la marcha, mediante la comunicación con el servidor remoto controlado por los ciberdelincuentes.

Aunque no se conoce al 100% cómo los hackers propagan e instalan el malware en cuestión, se sospecha que se trata de un complemento de transmisión de medios pirateado o no oficial.

Durante la instalación de este complemento malicioso, un archivo ejecutable descargará una serie de scripts de shell que eventualmente configuran el minero, y luego, el rootkit para ocultar la presencia de un cryptojacker.

La nueva variante de malware descubierta se instala en la carpeta temporal (como muchas otras piezas de malware prefieren hacerlo).

Esta vez se instala en / tmp / kworkerds. Si, por algún motivo, el componente rootkit no se instala, las víctimas pueden detectar fácilmente que el proceso de kworkerds utiliza casi el 100% de la CPU.

Si el rootkit está allí, el proceso que causa una alta carga del procesador no se puede detectar visualmente, aunque la carga general del sistema sigue siendo del 100%.

En el ejemplo anterior, puede ver que usar un rootkit para ocultar un cryptojacker puede ser muy efectivo y evitar la detección y eliminación rápida de malware.

Triste, pero los administradores del sistema y los usuarios normales pueden pasar por una situación horrible tratando de entender por qué sus PC usan la CPU de manera tan intensiva.

Los virus de minería criptográfica, especialmente en sistemas Linux, pueden causar serios problemas de rendimiento.

Es un gran problema considerando la ubicuidad de Linux en la ejecución de diversos procesos de negocios en estaciones de trabajo, servidores, marcos de desarrollo de aplicaciones y dispositivos móviles.