Darktrace advierte sobre una nueva campaña de cryptojacking capaz de evadir Windows Defender. Campañas de cryptojacking a través de ingeniería social.

La empresa de ciberseguridad Darktrace ha identificado una nueva campaña de cryptojacking diseñada para evadir Windows Defender e instalar un software de minería de criptomonedas.

La campaña de cryptojacking, identificada por primera vez a fines de julio, involucra una cadena de infección de múltiples etapas que secuestra silenciosamente la capacidad de procesamiento de una computadora para minar criptomonedas, explicaron las investigadoras de Darktrace Keanna Grelicha y Tara Gould en un informe compartido con crypto.news.

Según las investigadoras, la campaña apunta específicamente a sistemas basados en Windows explotando PowerShell, la consola de línea de comandos y lenguaje de scripting incorporado de Microsoft, a través del cual los actores maliciosos pueden ejecutar scripts maliciosos y obtener acceso privilegiado al sistema anfitrión.

Estos scripts maliciosos están diseñados para ejecutarse directamente en la memoria del sistema (RAM) y, como resultado, las herramientas antivirus tradicionales que normalmente dependen del escaneo de archivos en los discos duros del sistema no pueden detectar el proceso malicioso.

Posteriormente, los atacantes utilizan el lenguaje de programación AutoIt, que es una herramienta de Windows utilizada normalmente por profesionales de IT para automatizar tareas, para inyectar un cargador malicioso en un proceso legítimo de Windows, que luego descarga y ejecuta un programa de minería de criptomonedas sin dejar rastros evidentes en el sistema.

Como una línea de defensa adicional, el cargador está programado para realizar una serie de verificaciones del entorno, como buscar señales de un entorno sandbox e inspeccionar el host en busca de productos antivirus instalados.

La ejecución solo continúa si Windows Defender es la única protección activa. Además, si la cuenta de usuario infectada no tiene privilegios de administrador, el programa intenta eludir el Control de Cuentas de Usuario para obtener acceso elevado.

Cuando se cumplen estas condiciones, el programa descarga y ejecuta NBMiner, una herramienta de minería de criptomonedas bien conocida que utiliza la unidad de procesamiento gráfico de la computadora para minar criptomonedas como Ravencoin (RVN) y Monero (XMR).

En este caso, Darktrace pudo contener el ataque utilizando su sistema de Respuesta Autónoma al “impedir que el dispositivo realice conexiones salientes y bloquear conexiones específicas a endpoints sospechosos”.

“A medida que las criptomonedas continúan creciendo en popularidad, como se observa con la alta valoración actual de la capitalización global del mercado de criptomonedas (casi USD 4 trillones al momento de escribir esto), los actores de amenazas seguirán viendo la minería de criptomonedas como una actividad rentable”, escribieron las investigadoras de Darktrace.

Campañas de cryptojacking mediante ingeniería social

En julio, Darktrace detectó una campaña separada en la que actores maliciosos utilizaban tácticas complejas de ingeniería social, como hacerse pasar por empresas reales, para engañar a los usuarios y lograr que descargaran software modificado que instala malware para robar criptomonedas.

A diferencia del esquema de cryptojacking mencionado anteriormente, este enfoque apuntaba tanto a sistemas Windows como macOS y era ejecutado por las propias víctimas, quienes creían estar interactuando con empleados de la empresa.