Consiguen esconder malware para minar criptomonedas en archivos de instalación de Windows

El malware que utiliza los recursos de tu ordenador para minar criptomonedas está muy lejos de desaparecer. Mientras que la mayoría de este malware se ejecuta en el navegador web, Trend Micro ha descubierto un nuevo tipo que se camufla dentro de archivos de instalación de Windows en formato .MSI.

Un nuevo malware se camufla como un archivo de instalación de Windows

Los métodos de detección de este tipo de malware son cada vez más avanzados, por lo que los hackers intentan hacerlos cada vez más complejos para ocultarlos. Por ello, han recurrido al formato MSI, que es el formato de instalación de paquetes de Windows, y así se hacen pasar por paquetes legítimos.

Este Coinminer estaba diseñado específicamente para no ser detectado mediante diversos métodos de ofuscación. El hecho de usar el formato MSI da una mayor sensación de seguridad al usuario. Al instalarse, en la ruta de destino sólo encontramos varios archivos que hacen de señuelo.

Estos archivos son uno en formato .bat, que cierra todos los servicios relacionados con el antivirus; un .exe, que es un descompresor de un tercer archivo .ico, que en realidad es un zip protegido por contraseña. Al descomprimir ese .ico, encontramos un archivo .ocx, que es módulo que descifra e instala el módulo para minar criptomonedas, y un .bin, que es el módulo para minar propiamente dicho.

El malware tiene un módulo de autodestrucción para no dejar rastro

Para evitar aún más su detección, el malware crea copias de los archivos de Windows ntdll.dll y user32.dll, probablemente para evitar la detección de la API del malware. En todo el proceso de instalación el idioma usado es ruso, por lo que nos hacemos una idea de cuál puede ser el origen del malware.

Como el mejor espía, el malware tiene un mecanismo de autodestrucción para no dejar rastro de su presencia en el ordenador, incluyendo archivos o directorios que haya creado. El dominio donde se almacenan los archivos es %AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server.

Este tipo de malware no ha parado de crecer en lo que llevamos de año, y está presente en cualquier tipo de dispositivo que tenga capacidad de procesamiento, incluyendo routers, actualizaciones de Flash, webs que teóricamente son legítimas, anuncios, etc.

De hecho, hay malware de este tipo que ha llegado a infectar redes de ordenadores completas. Una universidad canadiense tuvo que apagar temporalmente toda su red de ordenadores la semana pasada al descubrir que hackers habían estado aprovechándose de sus ordenadores para minar criptomonedas.

Fuente: adslzone