El éxito de las criptomonedas como Bitcoin está impulsando la creciente popularidad del cryptomining, el proceso con el cual se obtienen estas monedas. Por si no lo sabían, la minería de criptomonedas requiere una gran potencia informática. Lo que ha llevado a los mineros emprendedores a buscar métodos nuevos y, en ocasiones, poco éticos para obtener acceso a recursos informáticos ajenos a través de navegadores web, dando lugar a una nueva forma de malware llamada cryptojacking.
Cryptojacking, la práctica de utilizar la potencia de procesamiento de un ordenador para minar criptomonedas sin el permiso o conocimiento del propietario, está ganando más y más protagonismo a medida que la cripto minería en navegador ha vuelto a ser posible y rentable.
Para poder utilizar los recursos informáticos de terceros, los hackers han de hacer que la víctima haga clic en un enlace malicioso en un correo electrónico que carga un código criptográfico en el ordenador, o al infectar una página web o un anuncio en línea con un código JavaScript que se ejecuta automáticamente una vez cargado en el navegador de la víctima.
Sea cual sea la forma en que invaden en dispositivo del usuario, la minería se realiza en segundo plano. Las víctimas podrán continuar usando sus ordenadores sin percibir que un hacker está usando su potencia informática enriqueciéndose a sus espaldas. Apenas podrá notar que el rendimiento del ordenador es más lento o retrasos es la ejecución de algunas aplicaciones y demás.
Cryptojacking continúa aumentando
Aunque se desconoce la cantidad de criptomonedas exacta que se ha minado con el Cryptojacking, no hay dudas de que las cifras son escandalosas. Los hackers cada día se interesan más en las criptomonedas.
La simple razón por la cual el criptojackeo se está volviendo más popular entre los hackers es más dinero por menos riesgo. «Los hackers ven el cryptojacking como una alternativa más barata y más rentable al ransomware«, dice Alex Vaystikh, CTO y cofundador de SecBI. Con el ransomware, un pirata informático podría hacer pagar a tres personas por cada 100 ordenadores infectados, explica. Con cryptojacking, las 100 de esas máquinas infectadas funcionan para que el pirata informático mine criptomonedas.» El hacker podría hacer lo mismo que esos tres pagos de ransomware, pero la criptografía continuamente genera dinero», dice.
Otro aspecto que lo vuelve más atractivo aún es que el riesgo de ser atrapado e identificado también es mucho menor que con el ransomware. El código de minería de cifrado se ejecuta ocultamente y puede pasar desapercibido durante mucho tiempo. Si se descubre, encontrar el origen es muy complicado y las víctimas tienen pocos incentivos para hacerlo, nadie les ha robado o encuitado nada. Entre todas las criptomonedas, las preferidas por los hackers son las más anónimas como Monero y Zcash, incluso más que Bitcoin, la más popular. Esto se debe a que hacer un seguimiento de la actividad ilegal es más complicado.
Cómo funciona cryptojacking
Las dos principales que tienen los hackers para conseguir que el ordenador de una víctima mine criptomonedas secretamente son:
Engañar a las víctimas para que carguen el código cryptomining en sus ordenadores. Lo que se lleva a cabo a través de tácticas de phishing: las víctimas reciben un correo electrónico de aspecto legítimo que las anima a hacer clic en un enlace. El enlace ejecuta un código que coloca la secuencia de comandos cryptomining en el ordenador. El script se ejecuta en segundo plano a medida que la víctima trabaja.
Inyectar un script en una página web o un anuncio que se envía a varias páginas web. Una vez que las víctimas visitan la web o el anuncio infectado, el script aparece en sus navegadores y se ejecuta automáticamente. No se almacena ningún código en los ordenadores de las víctimas. Independientemente del método que se use, el código ejecuta complejos problemas matemáticos en las dispositivos y envía los resultados a un servidor controlado por el hacker.
En ocasiones, y con el fin de maximizar su rendimiento los hackers escogen usar ambos métodos.
«Los ataques usan viejos trucos de malware para entregar un software más confiable y persistente a los ordenadores de sus víctimas como retroceso», dice Vaystikh.
Por poner un ejemplo, de 100 dispositivos que minan criptomonedas para un hacker, el 10 % podría estar generando ingresos a partir del código en los ordenadores de las víctimas, mientras que el 90 % restante lo podría estar haciendo mediante sus navegadores web.
Por suerte para los usuarios que son víctima de este tipo de ataques, los scripts de cryptojacking no dañan los ordenadores ni los datos de las víctimas como suelen hacerlo la mayoría de los demás tipos de malware. Roban recursos de procesamiento de CPU. Para usuarios individuales, que el rendimiento del ordenador sea más lento puede ser apenas una molestia. La organización con muchos sistemas cryptojacked puede generar costes reales en términos de asistencia técnica y tiempo de tecnología de la información (TI) dedicado a rastrear problemas de rendimiento y reemplazar componentes o sistemas con la esperanza de resolver el problema.
Ejemplos de cryptojacking en el mundo real
La astucia de los cryptojackers los ha llevado a idear una serie de tácticas para que los ordenadores de otras personas minen criptomonedas. La mayoría de esos trucos no son nuevos. Los métodos de entrega de criptografía a menudo se derivan de los utilizados para otros tipos de malware como ransomware o adware.
«Estás empezando a ver muchas cosas tradicionales que los malautores han hecho en el pasado», dice Travis Farral, director de estrategia de seguridad en Anomali. «En lugar de entregar un ransomware o un troyano, lo están reorganizando para entregar módulos o componentes de minería de datos criptográficos”.
Veamos algunos ejemplos:
Empleados se aprovechan de las compañías en las que trabajan:
En la conferencia EmTech Digital a principios de este año, Darktrace contó la historia de un cliente, un banco europeo, que estaba experimentando algunos patrones de tráfico inusuales en sus servidores. Los procesos nocturnos se ejecutaban lentamente, y las herramientas de diagnóstico del banco no descubrieron nada. Darktrace descubrió que los nuevos servidores estaban en línea durante ese tiempo, servidores que el banco dijo que no existían. Una inspección física del centro de datos reveló que un miembro corrupto había instalado un sistema cryptomining debajo de las tablas del suelo.
Extensión maliciosa de Chrome alojada en GitHub
En marzo, Avast Software informó que los cryptojackers usaban GitHub como host para malware cryptomining. Encuentran proyectos legítimos y crean una copia del mismo, construyen sobre él o lo usan como punto de partida. El malware se oculta en la estructura de directorios de ese proyecto bifurcado. Usando un esquema de phishing, los cryptojackers atraen a las personas a descargar ese malware a través de, por ejemplo, una advertencia para actualizar su reproductor Flash o la promesa de un sitio de juegos de contenido para adultos.
Facexworm: extensión maliciosa de Chrome
Este malware, descubierto por primera vez por Kaspersky Labs en 2017, es una extensión de Google Chrome que utiliza Facebook Messenger para infectar los ordenadores de los usuarios. A principios de este año, Trend Micro encontró una variedad de Facexworm que se enfocaba en exchange de criptomonedas y era capaz de entregar código cryptomining. Aún utiliza cuentas infectadas de Facebook para entregar enlaces maliciosos, pero también puede robar cuentas y credenciales web, lo que le permite inyectar código criptográfico en esas páginas web.
Mantener el ordenador a salvo de cryptojacking
Algunos consejos para minimizar el riesgo de ser una víctima más de los cryptojackings.
Una opción es utilizar el navegador web Opera, que bloquea los scripts de minería de cripto tanto en su versión web como en la versión para móviles a partir de este mes de enero.
En un informe Microsoft señala que Windows Defender Anti-Virus bloquea las aplicaciones no deseadas, citando que el número de mineros bloqueados para ser descargados pasó del 2 al 6 % de todas las descargas de aplicaciones no deseadas entre septiembre de 2017 y enero de 2018. Microsoft añade que varios de sus programas Windows Defender pueden impedir que los mineros cripto entren en las redes corporativas.
Mantenga sus herramientas de filtrado web actualizadas. Si identifica una página web que está entregando secuencias de comandos cryptojacking, asegúrese de no volver a acceder a ella.
Mantener las extensiones del navegador. Algunos atacantes usan extensiones de navegador maliciosas o envenenan extensiones legítimas para ejecutar scripts de minería de datos criptográficos.
