Una nueva campaña de malware masivo está infectando a los usuarios con un minero de criptomonedas llamado Silentcryptominer Masquiándolo como una útil diseñada para eludir los bloques y restricciones de Internet en torno a los servicios en recta.
La compañía rusa de ciberseguridad Kaspersky dijo que la actividad es parte de una tendencia más espacioso en la que los cibercriminales están aprovechando cada vez más las herramientas de desvío de paquetes de Windows (WPD) para distribuir malware bajo la apariencia de programas de derivación de restricción.
“Dicho software a menudo se distribuye en forma de archivos con instrucciones de instalación de texto, en las que los desarrolladores recomiendan deshabilitar las soluciones de seguridad, citando falsos positivos”, dijeron los investigadores Leonid Bezvershenko, Dmitry Pikush y Oleg Kupreev. “Esto juega en manos de los atacantes al permitirles persistir en un sistema sin protección sin el peligro de detección”.
El enfoque se ha utilizado como parte de esquemas que propagan robadores, herramientas de entrada remoto (ratas), troyanos que proporcionan entrada remoto oculto y mineros de criptomonedas como NJRAT, XWORM, PHEMEDRONE y DCRAT.
El postrero libranza en esta táctica es una campaña que ha comprometido a más de 2,000 usuarios rusos con un minero disfrazado de útil para obtener bloques basados en la inspección profunda de paquetes (DPI). Se dice que el software se anunció en forma de un enlace a un archivo taimado a través de un canal de YouTube con 60,000 suscriptores.
En una ascenso posterior de las tácticas vistas en noviembre de 2024, se ha enfrentado que los actores de amenaza se hacen acontecer por tales desarrolladores de herramientas para amenazar a los propietarios de canales con avisos falsos de huelga de derechos de autor y demandan que publiquen videos con enlaces maliciosos o arriesgan a cerrar sus canales conveniente a una supuesta infracción.
“Y en diciembre de 2024, los usuarios informaron la distribución de una interpretación infectada por minero de la misma útil a través de otros canales de Telegram y YouTube, que desde entonces se han cerrado”, dijo Kaspersky.
Se ha enfrentado que los archivos atrapados en el bacto empacan un ejecutable adicional, con uno de los scripts de lotes legítimos modificados para ejecutar el binario a través de PowerShell. En caso de que el software antivirus instalado en el sistema interfiera con la esclavitud de ataque y elimine el binario taimado, los usuarios se muestran un mensaje de error que les insta a retornar a descargar el archivo y ejecutarlo luego de deshabilitar las soluciones de seguridad.
El ejecutable es un cargador basado en Python que está diseñado para recuperar un malware de la próxima etapa, otro script de Python que descarga la carga útil del minero SilentCryptominer y establece la persistencia, pero no antaño de probar si se ejecuta en una caja de arena y configurando las exclusiones de defensa de Windows.
El minero, basado en el minero de código libre XMRIG, está acolchado con bloques de datos aleatorios para inflar artificialmente el tamaño del archivo a 690 MB y finalmente obstaculiza el descomposición instintivo por soluciones antivirus y cajas de arena.
“Para el sigilo, SilentCryptominer emplea el hueco del proceso para inyectar el código minero en un proceso del sistema (en este caso, dwm.exe)”, dijo Kaspersky. “El malware puede dejar de minería mientras los procesos especificados en la configuración están activos. Se puede controlar de forma remota a través de un panel web”.
