Los especialistas del equipo de investigación de Dr. Web han descubierto que hay un grupo de hackers que está utilizando las versiones pirata de Windows 10 con la intención de llevar a cabo un ataque muy grave. Se recomienda a los usuarios a que no se expongan a este tipo de infección de la cual te hablamos a continuación para que sepas qué está pasando.
El peligro está dentro de la ISO
Lo que están haciendo estos hackers es distribuir versiones pirata de Windows 10 cuya ISO ha sido alterada para esconder un malware relacionado con criptomonedas. Este archivo malicioso se encuentra muy escondido, por lo que es difícil llegar a verlo. En la práctica, el usuario instala Windows 10 sin ningún tipo de problema y no llega a ser consciente de que algo nocivo haya ocurrido a sus espaldas.
Pero sí que habrá pasado algo. Tal y como explican los expertos en seguridad que han descubierto la amenaza, el malware en cuestión que están distribuyendo está escondido en la partición EFI (Extensible Firmware Interface. Eso consigue que sea un malware prácticamente imposible de encontrar a nivel de usuario, ya que esta partición de pequeño tamaño no suele ser algo que se revise. En esa partición solo se incluyen elementos como el bootloader y archivos que se ejecutan cada vez que enciendes el ordenador justo antes de que comience Windows.
¿Qué puede hacer este malware?
En este caso, eso sí, parece que los hackers no están utilizando la partición como sistema para llevar a cabo la ejecución del malware. Aunque ese modus operandi ha sido clave en algunos ataques de gran renombre producidos en los últimos años, los hackers habrían obviado su uso por resultar demasiado predecible. Lo que han hecho, no obstante, ha sido usar la carpeta como caballo de Troya que permita dejar el malware en el sistema y, desde ahí, que se ejecute una vez el ordenador está encendido.
Uno de los motivos por los que se ha elegido esta carpeta EFI es porque suele ser una de las pocas que los antivirus ignoran cuando hacen verificaciones del disco duro y del sistema. Por lo tanto, los usuarios podrían pasar largos periodos de tiempo sin saber que tienen una infección o incluso no llegar a descubrirlo nunca.
Cuando se ponen en funcionamiento los tres archivos que tiene el malware, conocidos con los nombres de iscsicli.exe, recovery.exe y kd_08_5e78.dll, el sistema realiza un complicado proceso para llegar a hackear los monederos digitales de los usuarios. Pero es un ataque que está muy bien planificado y, si el usuario tiene algún tipo de herramienta de monitorización que le permita estar al tanto de este tipo de planes, nunca se llegaría a ejecutar. El propio malware se pararía en seco y quedaría virtualmente anulado para no levantar sospechas y que la iniciativa de estos hackers no acabe viendo la luz públicamente. Algunas de las herramientas que dan protección en este tipo de situación incluyen ProcessHacker o Process Explorer, entre otras.
Si no hay ninguna de esas aplicaciones, el malware sí actúa y lo que hace es editar la dirección de las wallets de criptomonedas de los usuarios para cambiarlas por las direcciones de los hackers. Eso significa que, el usuario, sin darse cuenta de que se han cambiado sus datos, perderá todo el dinero que se transfiera a sus monederos en el momento en el que haga operaciones. La próxima vez que se conecte a su monedero para ver su saldo, descubrirá que no ha llegado nada de lo que mandó.
Y según los datos publicados, el ataque hacker está siendo demoledor, puesto que ya parecen haber robado casi 20.000 dólares. Por ahora se han detectado algunas ISO infectadas, teniendo todas ellas el nombre «by BoJlIIIebnik RU» al final del archivo, pero se avisa de que podría haber muchas más versiones circulando. Para evitar riesgos, es recomendable no descargar Windows pirata.
Fuente: Bleeping Computer | adslzone
