Crooks Cambia Por culpa de un Ransomware a Cryptocurrency Mining

Crooks-cambia-de-Ransomware-a-Cryptocurrency-Mining
Crooks Cambia Por culpa de un Ransomware a Cryptocurrency Mining
Califica Este Post

Los criminales detrás del VenusLocker ransomware han pasado a la minería de cripto difusión en su última campaña dirigida a los usuarios de computadoras en Corea del Sur. En lugar de tratar de infectar los equipos seleccionados con ransomware, el grupo está intentando instalar malware en los PCs que minan, una cripto moneda de código abierto.
El cambio fue detectado por FortiGuard Labs, que dijo que el grupo detrás de los ataques está tratando de capitalizar en un mercado de cripto monedas.
Con más y más personas dándose cuenta de que la cripto moneda es potencialmente una inversión significativamente rentable, es probable que este aumento continúe en un futuro previsible. Y donde hay ganancias, ahí es donde se acumularán los ataques de malware “, escribió FortiGuard en un informe el miércoles.
Los investigadores dijeron que el cambio por parte de los actores de la amenaza también se ve estimulado por los esfuerzos de mitigación anti-ransomware que han hecho más difícil infectar los sistemas con malware.
En octubre pasado, Microsoft agregó una función de acceso controlado a la carpeta a Windows Defender Security para los usuarios de Windows 10 para evitar la alteración maliciosa (o inesperada) de archivos importantes. Características como ésta pueden frustrar eficazmente los ataques de ransomware. Lo cual es probablemente parte de la razón por la que los actores de la amenaza detrás de VenusLocker decidieron cambiar de blanco “, dijeron los investigadores.
¿Por qué los Monero cripto moneda, y no el Bitcoin en auge? Según FortiGuard, el algoritmo minero de Monero está diseñado para computadoras ordinarias. Bitcoin, por otra parte, requiere sistemas de gama alta equipados con circuitos integrados específicos para aplicaciones o GPU de gama alta, según los investigadores.
“La segunda razón es la promesa de Monero de mantener el anonimato en las transacciones. Con Bitcoin, una billetera es un registro público “, escribieron los investigadores. La cartera de Monero utiliza “direcciones secretas” junto con “mezclas de transacciones” que permiten a los delincuentes ocultar la actividad de la cuenta.
Quienes están detrás de VenusLocker, y ahora del malware minero de Monero, se dirigen a los usuarios surcoreanos mediante campañas de phishing. Los correos electrónicos contienen archivos adjuntos maliciosos comprimidos en formato de archivo EGG, desarrollados por ESTsoft, una empresa de tecnología de Corea del Sur.
Los trucos van desde mensajes falsos de un sitio web que insisten en que los destinatarios abran un archivo adjunto que contiene información personal importante sobre una violación de un hack reciente del sitio web. Otro mensaje insiste en que el destinatario abra el archivo adjunto malicioso para ver las imágenes protegidas por derechos de autor utilizadas ilegalmente en el sitio web del destinatario.

Una vez ejecutado el malware, se ejecuta un binario embebido del minador de CPU Monero XMRig v2.4.2. Como un intento básico para ocultar esta operación de acaparamiento de recursos, el minero se ejecuta como un hilo remoto bajo el componente legítimo de Windows wuapp. exe, que se ejecuta de antemano para evitar levantar sospechas “, describen los investigadores.
Los investigadores también observaron muchas similitudes entre el atributo de archivo oculto y los archivos abreviados utilizados para engañar a los usuarios del malware VenusLocker y el malware de minería.
Una observación interesante es que este mismo esquema ha sido utilizado por VenusLocker en el pasado. Para confirmar esta suposición, tuvimos que echar un vistazo más de cerca a los metadatos de los archivos de atajo, y por supuesto, encontramos una relación directa con el ransomware. Aparte de las rutas de destino, los archivos de acceso directo utilizados durante el periodo de rescate de VenusLocker son prácticamente idénticos a los que se usan en esta campaña “, dijeron los investigadores.
Investigadores de FortiGuard dicen que el cambio a la minería de crio Monedas por los ladrones de ransomware es una tendencia creciente que podría extenderse hasta 2018. Con los valores de cripto moneda siendo más atractivos que nunca, es una posibilidad real “, dijeron.

Entradas Relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *