Darktrace advierte sobre una nueva campaña de cryptojacking capaz de evadir Windows Defender. Campañas de cryptojacking mediante ingeniería social.

La firma de ciberseguridad Darktrace ha identificado una nueva campaña de cryptojacking diseñada para evadir Windows Defender e instalar un software de minería de criptomonedas.

La campaña de cryptojacking, identificada por primera vez a finales de julio, implica una cadena de infección de múltiples etapas que secuestra silenciosamente la capacidad de procesamiento de una computadora para minar criptomonedas, explicaron las investigadoras de Darktrace Keanna Grelicha y Tara Gould en un informe compartido con crypto.news.

Según las investigadoras, la campaña apunta específicamente a sistemas basados en Windows explotando PowerShell, la consola de línea de comandos y lenguaje de scripting incorporado de Microsoft, a través del cual los actores maliciosos pueden ejecutar scripts maliciosos y obtener acceso privilegiado al sistema anfitrión.

Estos scripts maliciosos están diseñados para ejecutarse directamente en la memoria del sistema (RAM) y, como resultado, las herramientas antivirus tradicionales que normalmente dependen del escaneo de archivos en los discos duros del sistema no pueden detectar el proceso malicioso.

Posteriormente, los atacantes utilizan el lenguaje de programación AutoIt, que es una herramienta de Windows utilizada normalmente por profesionales de TI para automatizar tareas, para inyectar un cargador malicioso en un proceso legítimo de Windows, el cual luego descarga y ejecuta un programa de minería de criptomonedas sin dejar rastros evidentes en el sistema.

Como una línea de defensa adicional, el cargador está programado para realizar una serie de comprobaciones del entorno, como buscar señales de un entorno sandbox e inspeccionar el host en busca de productos antivirus instalados.

La ejecución solo continúa si Windows Defender es la única protección activa. Además, si la cuenta de usuario infectada no tiene privilegios administrativos, el programa intenta eludir el Control de Cuentas de Usuario para obtener acceso elevado.

Cuando se cumplen estas condiciones, el programa descarga y ejecuta NBMiner, una herramienta de minería de criptomonedas bien conocida que utiliza la unidad de procesamiento gráfico de una computadora para minar criptomonedas como Ravencoin (RVN) y Monero (XMR).

En este caso, Darktrace pudo contener el ataque utilizando su sistema de Respuesta Autónoma al “impedir que el dispositivo realizara conexiones salientes y bloquear conexiones específicas a puntos finales sospechosos”.

“A medida que las criptomonedas continúan creciendo en popularidad, como se observa con la actual alta valoración de la capitalización global del mercado de criptomonedas (casi 4 trillones de dólares estadounidenses al momento de escribir), los actores de amenazas seguirán viendo la minería de criptomonedas como una empresa rentable”, escribieron las investigadoras de Darktrace.

Campañas de cryptojacking mediante ingeniería social

En julio, Darktrace detectó una campaña separada en la que actores maliciosos utilizaban tácticas complejas de ingeniería social, como hacerse pasar por empresas reales, para engañar a los usuarios y hacer que descargaran software modificado que instala malware para robar criptomonedas.

A diferencia del esquema de cryptojacking mencionado anteriormente, este enfoque tenía como objetivo tanto sistemas Windows como macOS y era ejecutado por las propias víctimas, quienes creían estar interactuando con empleados de la empresa.