Malware que mina la criptomoneda Monero

La compañía de ciberseguridad Trend Micro ha detectado un malware de minería de la criptomoneda Monero que se propaga a través de la aplicación Messenger de Facebook. Este virus, bautizado como Digmine, se presente como un supuesto enlace de descarga de un vídeo a través del servicio de chat de la red social, y que puede suponer todo un quebradero de cabeza para sus víctimas. 

Y es que este malware que afecta a Facebook Messenger instala un a extensión en Chrome que permite minar de forma continua criptomonedas en los equipos de las víctimas, a las ves que se propaga por los ordenadores de nuevos usuarios.

Digmine fue detectado inicialmente en Corea del Sur, aunque se ha distribuido por países como Vietnam, Azerbaiyán, Ucrania, Filipinas, Tailandia y Venezuela.
Este malware solo es peligroso en la versión de escritorio de Messenger a través del navegador Google Chrome, mientras que si es activado en otras plataformas, como los dispositivos móviles, este no funcionará (de momento).

Digmine está codificado en el lenguaje automático AutoIt y es enviado por chat a través de un falso enlace de descarga de un vídeo que realmente es un script autoejecutable. Si la cuenta de usuario de Facebook de la víctima está configurada para que se conecte automáticamente, el malware manipulará Messenger para enviar el enlace malicioso a sus contactos.

Este malware basa su funcionamiento en su conexión a un servidor de comando y control (C&C), que permite descargar distintos componentes en el equipo infectado. Entre ellos, se encuentra una extensión maliciosa para Chrome que es capaz de conducir a la víctima a una falsa página web que muestra un vídeo para completar el engaño. 

 

El módulo de minado de criptomoneda de Digminer es descargado a través de otro servidor C&C y consiste en una versión editada del minero de código abierto XMRig, especializado en la divisa Monero. 

este software malicioso se extrajo de un programa de minería legítimo de código abierto para minar Monero desde la CPU, que se llama xmrig, versión 0.8.2 (lanzado en mayo de 2017).

Al crear el software malicioso de minería, los delincuentes no hicieron ningún cambio en el código original; solo agregaron argumentos de línea de comandos codificados en forma rígida con la dirección de monedero del atacante y la URL del grupo de minería (pool), además de algunos comandos para finalizar todas las instancias previamente en ejecución de modo que no compitieran con la nueva instancia. Hacer esta modificación les puede haber llevado a los ciberdelincuentes unos pocos minutos.

 

Aunque está muy por detrás de Bitcoin en la capitalización bursátil, Monero tiene varias características que lo convierten en una criptomoneda muy atractiva para extraer con malware: sus transacciones no se pueden rastrear y su algoritmo de prueba de trabajo llamado CryptoNight permite usar la CPU o GPU de computadoras y servidores comunes, a diferencia del hardware de minería especializado que se necesita para extraer bitcoins.

Más información:

• Una máquina de hacer dinero: malware que mina Monero.
• Digmine, el nuevo malware que se distribuye por Facebook Messenger.