Recientemente se ha descubierto que se están utilizando falsas actualizaciones de Adobe Flash para instalar de manera subrepticia el malware de minería de criptomonedas en computadoras y redes, lo cual genera graves pérdidas de tiempo, rendimiento del sistema y consumo de energía para los afectados.

De acuerdo a un informe de la firma de ciberseguridad Palo Alto Networks, una actualización falsa del software ampliamente utilizado se ha hecho cargo de las computadoras para minar criptomoneda de forma subrepticia.

El software malintencionado se afirma que es para Adobe Flash, que se actualiza, pero incluye código para el cryptojacking, el término utilizado para llamar a los esfuerzos para acceder silenciosamente a las computadoras y luego aprovechar su poder para explotar criptomonedas como Bitcoin.

Si bien las actualizaciones de Flash falsas que impulsan el malware tradicionalmente han sido fáciles de detectar y evitar, una nueva campaña ha empleado nuevos trucos que descargan sigilosamente los mineros de criptomonedas en los sistemas Windows.

Una advertencia al ejecutar el actualizador de Flash falso. Fuente: Palo Alto Networks.

Brad Duncan, un analista de inteligencia de amenazas para la compañía, anunció el descubrimiento el jueves en una publicación de blog .

“Desde agosto de 2018, algunos ejemplos que suplantan las actualizaciones de Flash han tomado prestadas notificaciones emergentes del instalador oficial de Adobe”, escribió Duncan. “Debido a la actualización legítima de Flash, una víctima potencial puede no notar nada fuera de lo común”.

La implicación de este escenario desagradable es que una víctima potencial puede no notar nada fuera de lo común mientras un minero de criptomonedas XMRig u otro programa no deseado se ejecuta silenciosamente en el fondo de la computadora Windows de la víctima. Este software de minería podría ralentizar el procesador de la computadora de la víctima, dañar el disco duro o extraer datos confidenciales y transmitirlo a otras plataformas digitales sin el consentimiento de la víctima.

Raj Samani, científico jefe de la firma de ciberseguridad McAfee, dijo que el cryptojacking está invadiendo rápidamente el hardware informático a través de numerosos puntos de acceso.

“Esto no es exclusivo de esta actualización”, dijo Samani. “Estamos viendo que muchos sitios web son secuestrados y los sitios web muy acreditados que visitamos regularmente están consumiendo, sin saberlo, los recursos de los visitantes en beneficio de los delincuentes”.

RedLock, una compañía de defensa contra amenazas en la nube, anunció en febrero que los piratas informáticos entraron en la cuenta de la nube de Tesla con Amazon Web Services y la utilizaron para explotar la criptomoneda. El director general de RedLock, Varun Badhwar, dijo en marzo que ha comenzado una “carrera de armamentos” entre los hackers en un esfuerzo por robar el poder de la informática.

Según un “informe de amenazas” publicado en junio por McAfee, el malware de cryptojacking aumentó un 629 por ciento en el primer trimestre de 2018 con respecto al cuarto trimestre de 2017.

“Esto sugiere que los ciberdelincuentes se están calentando ante la posibilidad de monetizar las infecciones de los sistemas de usuarios sin incitar a las víctimas a realizar pagos, como es el caso de los esquemas populares de ransomware”, señala el informe.

La actualización falsa de Adobe Flash no es tan fácilmente detectable como otras infecciones de software, ya que el malware realmente actualiza la versión de Adobe Flash de la computadora. La capa adicional otorga una autenticidad falsa, lo que hace que la víctima tenga menos probabilidades de darse cuenta de la naturaleza corrupta de la actualización del software.

Después de ejecutar el programa, descarga un Flash Player real de Adobe. Fuente: Palo Alto Networks.

Duncan explicó que aún no se sabía con precisión cómo las víctimas potenciales estaban llegando a las URL que entregaban las actualizaciones de Flash falsas; sin embargo, el tráfico de red durante el proceso de infección se ha relacionado principalmente con actualizaciones Flash fraudulentas. Curiosamente, el servidor Windows infectado genera una solicitud HTTP POST para [osdsoft [.] Com], un dominio asociado con actualizadores o instaladores que empujan a los mineros de criptomonedas.

Tráfico de infección filtrado en Wireshark, que muestra el inicio del tráfico XMRig. Fuente: Palo Alto Networks.

El investigador también informó que los piratas informáticos están más interesados ​​en la moneda de Monero y están utilizando la minería ilícita sin dejar marcas. El protocolo de privacidad de Monero Coin hace que sea extremadamente difícil de rastrear, y por lo tanto es una victoria para los inyectores de malware. Los instaladores falsos actualizan el complemento Adobe Flash, pero también instalan XMRig en segundo plano. Después de instalarse en la computadora de la víctima, el programa utiliza la tarjeta gráfica y la capacidad de procesamiento para extraer la moneda de Monero sin previo aviso.

Tráfico XMRig con el número de billetera de Monero. Fuente: Palo Alto Networks.

Además Duncan añadió que mientras el equipo de investigación buscaba ciertas actualizaciones de Flash falsas en particular, observó algunos archivos ejecutables de Windows con nombres que comienzan con “Adobe Flash Player_ _” de servidores web que no son de Adobe y están basados ​​en la nube. Estas descargas generalmente tenían la cadena “flashplayer_down.php? Clickid =” en la URL.

Sin mencionar que los equipos también encontraron 113 ejemplos de malware que cumplen con estos criterios desde marzo de 2018 en AutoFocus. 77 de estas muestras de malware se identifican con una etiqueta CoinMiner en AutoFocus. Las 36 muestras restantes comparten otras etiquetas con esos 77 ejecutables relacionados con CoinMiner.

Adobe Systems tiene la mayoría de los avisos de vulnerabilidad en comparación con cualquier otro proveedor de software para el hogar y la oficina, según un análisis publicado en agosto por Trend Micro, una empresa de ciberseguridad y defensa.

Por ello Duncan alentó a los usuarios de Windows a ser más cautelosos sobre el tipo de actualizaciones de Adobe Flash que intentan instalar, afirmando que mientras las funciones emergentes y de actualización de Adobe hacen que el falso instalador parezca más legítimo, las posibles víctimas seguirán recibiendo señales de advertencia sobre la ejecución de la descarga archivos en su computadora con Windows.

En sus palabras:

“Las organizaciones con filtros web decentes y usuarios educados tienen un riesgo mucho menor de infección por estas actualizaciones falsas”.

No obstante, Adobe expresó que tiene la intención de dejar de distribuir su “Flash Player” para fines de 2020.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.