Descubierta operación de minería de criptomonedas que usa archivos ISO para infectar con troyanos y mineros

Investigadores de Elastic Security Labs han descubierto una operación con fines económicos, llamada REF1695, que desde noviembre de 2023 ha estado utilizando instaladores falsos para propagar troyanos de acceso remoto (RATs, por sus siglas en inglés, un tipo de malware que permite el control remoto de un dispositivo) y mineros de criptomonedas. Además de la minería de criptomonedas, los atacantes también monetizan las infecciones mediante fraude de CPA (Coste Por Acción), redirigiendo a las víctimas a páginas de bloqueo de contenido haciéndolas creer que es para registrar software.

Cómo funciona el ataque

Los ataques utilizan archivos ISO (imágenes de disco) como vector de infección. Estos archivos contienen un cargador protegido con .NET Reactor y un archivo de texto con instrucciones explícitas para que el usuario desactive las protecciones de Microsoft Defender SmartScreen. Esto se logra haciendo clic en "Más información" y "Ejecutar de todos modos" al intentar ejecutar aplicaciones no reconocidas.

• El cargador invoca PowerShell, un intérprete de comandos, para configurar exclusiones amplias en Microsoft Defender Antivirus, evitando así ser detectado.
• Luego, lanza en segundo plano un implante .NET no documentado previamente, llamado CNB Bot.
• Simultáneamente, se muestra al usuario un mensaje de error falso que indica que la aplicación no se puede iniciar debido a que el sistema no cumple con las especificaciones requeridas.

CNB Bot actúa como un cargador, capaz de descargar y ejecutar cargas útiles adicionales, actualizarse, desinstalarse y realizar acciones de limpieza para ocultar sus huellas. Se comunica con un servidor de comando y control (C2) mediante solicitudes HTTP POST.

En otras campañas, los atacantes han utilizado archivos ISO similares para distribuir PureRAT, PureMiner y un cargador XMRig (un software de minería de criptomonedas) personalizado basado en .NET. Este último se conecta a una URL codificada para extraer la configuración de minería e iniciar el proceso de minería.

Además, se ha observado el uso de "WinRing0x64.sys", un controlador de kernel de Windows legítimo pero vulnerable, para obtener acceso al hardware a nivel del kernel y modificar la configuración de la CPU para aumentar las tasas de hash, mejorando así el rendimiento de la minería. Esta técnica se ha utilizado en varias campañas de cryptojacking a lo largo de los años.

Qué significa esto para ti

Esta campaña demuestra la importancia de ser cauteloso al abrir archivos ISO de fuentes no confiables y seguir las instrucciones que puedan pedirte desactivar funciones de seguridad. Es fundamental mantener el software antivirus actualizado y ser consciente de las tácticas utilizadas por los ciberdelincuentes para engañar a los usuarios. Desconfía de los mensajes de error inesperados y verifica siempre la legitimidad de las aplicaciones antes de ejecutarlas.

Para las empresas, esto resalta la necesidad de educar a los empleados sobre las amenazas de ingeniería social y proporcionar directrices claras sobre cómo identificar y evitar ataques de phishing y malware. También es crucial implementar soluciones de seguridad robustas que puedan detectar y bloquear actividades maliciosas en la red.