Conecta con nosotros

Altcoin

Monero [XMR]: descubren nuevo malware de criptojacking

Adriana Echánove Laborde

Publicado

en

Coinhive, el script de minado de criptos que “secuestra” el poder de las computadoras de sus víctimas, aún está fresco en nuestras memorias, pese a que cerró a inicios de este año. Como ése, han habido muchos otros que se dedican a minar sin que el dueño del equipo esté consciente de ello. 

El problema llegó a tanto, que Mozilla Firefox tomó cartas en el asunto, permitiendo el bloqueo de CashBeet, aster18cdn, Coinhive, CoinPot, CryptoLoot, CryptoWebMiner, Freemine, Gridcash y MinerAlt.

Sin embargo, ahora el criptoespacio se enfrenta a un nuevo malware de criptojacking, “Norman”, que se dedica a minar Monero [XMR]. El virus fue descubierto el 14 de agosto por Varonis, una empresa de ciberseguridad fundada en 2005 por Yaki Faitelson y Ohad Korkus.

¿Cómo funciona?

Al igual que todos los demás, los cibercriminales infectan el hardware de los equipos víctima y utilizan su poder para minar criptomonedas. Norman está basado en XMRig, un programa minero con alto rendimiento de XMR, sin embargo, lo que lo diferencia de varios de sus pares es que Norman cierra el proceso de minado cuando se ejecuta el Administrador de tareas de la máquina infectada; cuando este último se cierra, el minado continúa.

Según los investigadores de Varonis, una empresa de ciberseguridad, este nuevo malware de criptojacking está construido con lenguaje PHP y Zend Guard. Analizando el código, agregaron que fue creado en un país de habla francesa y el archivo autoextraíble corre utilizando WinRAR.

El reporte oficial resumió los siguientes puntos:

  • Encontramos una infección a gran escala de criptomineros; casi todos los servidores y estaciones de trabajo de la empresa analizada estaban infectados.
  • Desde la infección inicial, que tuvo lugar hace más de un año, aumentó la cantidad de variantes y dispositivos infectados.
  • Norman emplea técnicas de evasión para esconderse del análisis y evitar su descubrimiento.
  • La mayoría de las variantes de malware se basaban en DuckDNS (un servicio DNS dinámico gratuito). Algunos lo necesitaban para las comunicaciones de comando y control (C&C), mientras que otros lo usaban para obtener ajustes de configuración o para enviar actualizaciones.
  • Norman es un criptominero basado en XMRig, un minero de alto rendimiento para la criptomoneda Monero.
  • No tenemos evidencia concluyente que conecte los criptomineros al PHP Shell interactivo. Sin embargo, existen fuertes razones para creer que se originan por el mismo actor de amenaza. 
  • Proporcionamos consejos para defenderse de las web shells y criptomineros remotos.

Suscríbete al boletín de AMBCrypto