Tuenti utiliza cookies propias y de terceros para darte un servicio más personalizado y, en su caso, mostrarte publicidad relacionada con tus preferencias y hábitos de navegación.
 Si sigues navegando, entendemos que aceptas su uso. Para obtener más información y saber cómo cambiar la configuración, consulta nuestra política de privacidad y cookies.

Consiguen esconder malware para minar criptomonedas en archivos de instalación de Windows


Un nuevo malware se camufla como un archivo de instalación de Windows
Los métodos de detección de este tipo de malware son cada vez más avanzados, por lo que los hackers intentan hacerlos cada vez más complejos para ocultarlos. Por ello, han recurrido al formato MSI, que es el formato de instalación de paquetes de Windows, y así se hacen pasar por paquetes legítimos.

Este Coinminer estaba diseñado específicamente para no ser detectado mediante diversos métodos de ofuscación. El hecho de usar el formato MSI da una mayor sensación de seguridad al usuario. Al instalarse, en la ruta de destino sólo encontramos varios archivos que hacen de señuelo.

Estos archivos son uno en formato .bat, que cierra todos los servicios relacionados con el antivirus; un .exe, que es un descompresor de un tercer archivo .ico, que en realidad es un zip protegido por contraseña. Al descomprimir ese .ico, encontramos un archivo .ocx, que es módulo que descifra e instala el módulo para minar criptomonedas, y un .bin, que es el módulo para minar propiamente dicho.

El malware tiene un módulo de autodestrucción para no dejar rastro
Para evitar aún más su detección, el malware crea copias de los archivos de Windows ntdll.dll y user32.dll, probablemente para evitar la detección de la API del malware. En todo el proceso de instalación el idioma usado es ruso, por lo que nos hacemos una idea de cuál puede ser el origen del malware.

Como el mejor espía, el malware tiene un mecanismo de autodestrucción para no dejar rastro de su presencia en el ordenador, incluyendo archivos o directorios que haya creado. El dominio donde se almacenan los archivos es %AppData%\Roaming\Microsoft\Windows\Template\FileZilla Server.

Este tipo de malware no ha parado de crecer en lo que llevamos de año, y está presente en cualquier tipo de dispositivo que tenga capacidad de procesamiento, incluyendo routers, actualizaciones de Flash, webs que teóricamente son legítimas, anuncios, etc.

Ya sabeis descargar la iso de la web de microsoft oficial os quitara muchos dolores de cabeza luego. Tampoco esta de mas os pongais una extension en el navegador antiminer.
Islamoy
0 Comentarios
¡Sé la primera o el primero en responder!

Responder