Una nueva campaña de malware masivo está infectando a los usuarios con un minero de criptomonedas llamado Silentcryptominer Masquiándolo como una herramienta diseñada para eludir los bloques y restricciones de Internet en torno a los servicios en línea.
La compañía rusa de ciberseguridad Kaspersky dijo que la actividad es parte de una tendencia más grande en la que los cibercriminales están aprovechando cada vez más las herramientas de desvío de paquetes de Windows (WPD) para distribuir malware bajo la apariencia de programas de derivación de restricción.
«Dicho software a menudo se distribuye en forma de archivos con instrucciones de instalación de texto, en las que los desarrolladores recomiendan deshabilitar las soluciones de seguridad, citando falsos positivos», dijeron los investigadores Leonid Bezvershenko, Dmitry Pikush y Oleg Kupreev. «Esto juega en manos de los atacantes al permitirles persistir en un sistema sin protección sin el riesgo de detección».
El enfoque se ha utilizado como parte de esquemas que propagan robadores, herramientas de acceso remoto (ratas), troyanos que proporcionan acceso remoto oculto y mineros de criptomonedas como NJRAT, XWORM, PHEMEDRONE y DCRAT.
El último giro en esta táctica es una campaña que ha comprometido a más de 2,000 usuarios rusos con un minero disfrazado de herramienta para obtener bloques basados en la inspección profunda de paquetes (DPI). Se dice que el programa se anunció en forma de un enlace a un archivo malicioso a través de un canal de YouTube con 60,000 suscriptores.
En una escalada posterior de las tácticas vistas en noviembre de 2024, se ha encontrado que los actores de amenaza se hacen pasar por tales desarrolladores de herramientas para amenazar a los propietarios de canales con avisos falsos de huelga de derechos de autor y demandan que publiquen videos con enlaces maliciosos o arriesgan a cerrar sus canales debido a una supuesta infracción.
«Y en diciembre de 2024, los usuarios informaron la distribución de una versión infectada por minero de la misma herramienta a través de otros canales de Telegram y YouTube, que desde entonces se han cerrado», dijo Kaspersky.
Se ha encontrado que los archivos atrapados en el bacto empacan un ejecutable adicional, con uno de los scripts de lotes legítimos modificados para ejecutar el binario a través de PowerShell. En caso de que el software antivirus instalado en el sistema interfiera con la cadena de ataque y elimine el binario malicioso, los usuarios se muestran un mensaje de error que les insta a volver a descargar el archivo y ejecutarlo después de deshabilitar las soluciones de seguridad.
El ejecutable es un cargador basado en Python que está diseñado para recuperar un malware de la próxima etapa, otro script de Python que descarga la carga útil del minero SilentCryptominer y establece la persistencia, pero no antes de verificar si se ejecuta en una caja de arena y configurando las exclusiones de defensa de Windows.
El minero, basado en el minero de código abierto XMRIG, está acolchado con bloques de datos aleatorios para inflar artificialmente el tamaño del archivo a 690 MB y finalmente obstaculiza el análisis automático por soluciones antivirus y cajas de arena.
«Para el sigilo, SilentCryptominer emplea el hueco del proceso para inyectar el código minero en un proceso del sistema (en este caso, dwm.exe)», dijo Kaspersky. «El malware puede dejar de minería mientras los procesos especificados en la configuración están activos. Se puede controlar de forma remota a través de un panel web».