Cryptojacking es el uso no autorizado de la computadora de otra persona para extraer criptomonedas. Los piratas informáticos hacen esto haciendo que la víctima haga clic en un enlace malicioso en un correo electrónico que carga código de minería de criptomonedas en la computadora, o infectando un sitio web o un anuncio en línea con código JavaScript que se ejecuta automáticamente una vez que se carga en el navegador de la víctima.
Cómo funciona el cryptojacking
Los piratas informáticos tienen dos formas principales de hacer que la computadora de la víctima extraiga criptomonedas en secreto. Una es engañar a las víctimas para que carguen código de criptominería en sus computadoras. Esto se hace mediante tácticas similares a la suplantación de identidad (phishing): las víctimas reciben un correo electrónico de apariencia legítima que las anima a hacer clic en un enlace. El enlace ejecuta un código que coloca el script de criptominería en la computadora. Luego, el script se ejecuta en segundo plano mientras la víctima trabaja.
El otro método es inyectar un script en un sitio web o un anuncio que se envía a varios sitios web. Una vez que las víctimas visitan el sitio web o el anuncio infectado aparece en sus navegadores, el script se ejecuta automáticamente. No se almacena ningún código en las computadoras de las víctimas. Cualquiera que sea el método que se utilice, el código ejecuta problemas matemáticos complejos en las computadoras de las víctimas y envía los resultados a un servidor que controla el pirata informático.
Ejemplos de criptojacking del mundo real
Los cryptojackers son muy inteligentes y han ideado una serie de esquemas para hacer que las computadoras de otras personas extraigan criptomonedas. La mayoría no son nuevos; Los métodos de entrega de criptominería a menudo se derivan de los utilizados para otros tipos de malware, como ransomware o adware. “Está comenzando a ver muchas de las cosas tradicionales que los autores maliciosos han hecho en el pasado”, dice Travis Farral, director de estrategia de seguridad de Anomali. “En lugar de entregar ransomware o un troyano, lo están reestructurando para entregar módulos o componentes de cripto-minería”.
A continuación, se muestran algunos ejemplos del mundo real:
La botnet de criptomonedas Prometei explota la vulnerabilidad de Microsoft Exchange
Prometei, que ya existía en 2016, es una botnet modular y de múltiples etapas diseñada para minar la criptomoneda Monero. Utiliza una variedad de medios para infectar dispositivos y propagarse a través de las redes. Sin embargo, a principios de 2021, Cybereason descubrió que Prometei estaba explotando las vulnerabilidades de Microsoft Exchange utilizadas en los ataques de Hafnium para implementar malware y recolectar credenciales. La botnet luego usaría los dispositivos infectados para minar Monero.
PowerGhost de pesca submarina roba las credenciales de Windows
El informe The Illicit Cryptocurrency Mining Threat de Cyber Threat Alliance (CTA) describe a PowerGhost, analizado por primera vez por Fortinet, como un malware sigiloso que puede evitar la detección de varias maneras. Primero usa el spear phishing para afianzarse en un sistema, y luego roba las credenciales de Windows y aprovecha la Instrumentación de administración de Windows y el exploit EternalBlue para propagarse. Luego intenta deshabilitar el software antivirus y los criptomineros de la competencia.
Graboid, un gusano criptominder que se propaga mediante contenedores
En octubre, Palo Alto Networks publicó un informe que describe una botnet de criptojacking con capacidades de propagación automática. Graboid, como lo llamaron, es el primer gusano criptominero conocido. Se propaga al encontrar implementaciones de Docker Engine que están expuestas a Internet sin autenticación. Palo Alto Networks estimó que Graboid había infectado más de 2000 implementaciones de Docker.
Los enrutadores MikroTik comprometidos propagan criptomineros
Bad Packets informó en septiembre del año pasado que había estado monitoreando más de 80 campañas de criptojacking dirigidas a enrutadores MikroTik, proporcionando evidencia de que cientos de miles de dispositivos estaban comprometidos. Las campañas aprovecharon una vulnerabilidad conocida ( CVE-2018-14847) para la que MikroTik había proporcionado un parche. Sin embargo, no todos los propietarios lo habían aplicado. Dado que MikroTik produce enrutadores de nivel de operador, los perpetradores de criptojacking tenían un amplio acceso a los sistemas que podrían estar infectados.
Cómo prevenir el cryptojacking
Siga estos pasos para minimizar el riesgo de que su organización sea presa del cryptojacking:
Incorpore la amenaza de cryptojacking en su capacitación de concienciación sobre seguridad , centrándose en los intentos de phishing para cargar scripts en las computadoras de los usuarios. “La capacitación lo ayudará a protegerse cuando las soluciones técnicas puedan fallar”, dice Laliberte. Cree que el phishing seguirá siendo el método principal para distribuir malware de todo tipo.