Consiguen esconder malware para minar criptomonedas en archivos de instalación de Windows

  • 9 noviembre 2018
  • 0 respuestas
  • 92 visualizaciones

Nivel de usuario 6
Medalla +2
Un nuevo malware se camufla como un archivo de instalación de Windows
Los métodos de detección de este tipo de malware son cada vez más avanzados, por lo que los hackers intentan hacerlos cada vez más complejos para ocultarlos. Por ello, han recurrido al formato MSI, que es el formato de instalación de paquetes de Windows, y así se hacen pasar por paquetes legítimos.

Este Coinminer estaba diseñado específicamente para no ser detectado mediante diversos métodos de ofuscación. El hecho de usar el formato MSI da una mayor sensación de seguridad al usuario. Al instalarse, en la ruta de destino sólo encontramos varios archivos que hacen de señuelo.

Estos archivos son uno en formato .bat, que cierra todos los servicios relacionados con el antivirus; un .exe, que es un descompresor de un tercer archivo .ico, que en realidad es un zip protegido por contraseña. Al descomprimir ese .ico, encontramos un archivo .ocx, que es módulo que descifra e instala el módulo para minar criptomonedas, y un .bin, que es el módulo para minar propiamente dicho.

El malware tiene un módulo de autodestrucción para no dejar rastro
Para evitar aún más su detección, el malware crea copias de los archivos de Windows ntdll.dll y user32.dll, probablemente para evitar la detección de la API del malware. En todo el proceso de instalación el idioma usado es ruso, por lo que nos hacemos una idea de cuál puede ser el origen del malware.

Como el mejor espía, el malware tiene un mecanismo de autodestrucción para no dejar rastro de su presencia en el ordenador, incluyendo archivos o directorios que haya creado. El dominio donde se almacenan los archivos es %AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server.

Este tipo de malware no ha parado de crecer en lo que llevamos de año, y está presente en cualquier tipo de dispositivo que tenga capacidad de procesamiento, incluyendo routers, actualizaciones de Flash, webs que teóricamente son legítimas, anuncios, etc.

Ya sabeis descargar la iso de la web de microsoft oficial os quitara muchos dolores de cabeza luego. Tampoco esta de mas os pongais una extension en el navegador antiminer.

0 respuestas

¡Sé la primera o el primero en responder!

Responder