Cryptojacking, entornos amenazados. Parte 3 de 4

En la entrada anterior vimos cuales eran los entornos que los delincuentes están usando con mayor frecuencia para el cryptojacking, por lo que en esta entrada continuaremos con la explicación de los tres entornos restantes.

Botnet

Una de las principales características que los delincuentes en los últimos años han incorporado a los software con los que crean o administran las redes de equipos zombies, es la capacidad de ser modulares y adaptativas, permitiendo que desde los C6C se modifiquen los módulos activos o se descarguen nuevos.

Esta característica brinda a los delincuentes la posibilidad de usar las infraestructuras existentes o nuevas de las botnet para monetizar su accionar con el cryptojacking, llevando a que muchas de las botnet conocidas estén cambiando sus operaciones usuales de phishing y DDoS por la de minado de criptomonedas.

Esto lo hemos evidenciado en varias ocasiones en nuestras newsletters Cybersecurity Pulse, donde se evidenciaba como se estaba usando el mismo método de propagación de WannaCry para crear una botnet que minara XMR, usando un programa en Python denominado PyRoMine.

Pero este no es el único caso, a lo largo del 2018 el incremento de detecciones de botnet usadas para la minería es evidente con casos como la Operation Prowli, Smominru, PowerGhost, entre otras. Estos casos han generado que informes de seguridad, como el de ISACA, indiquen que el Cryptojacking superá la importancia del ransomware entre las amenazas de este 2018.

Transacciones de usuarios

A diferencia de las anteriores amenazas, en esta los delincuentes no se enfocan en el minado de criptomonedas, sino en los usuarios de las mismas. Estos usuarios crecen en todo el mundo cada día,  como se mostró en el inicio de esta serie, se han llegado a registrar en promedio 200.000 transacciones por día en el blockchain de BTC.

Este número de transacciones aumenta el interés de la delincuencia en obtener “dinero fácil”, buscando robar las billeteras o interferir las transacciones de los usuarios del sistema, que al igual que en el mundo físico, son usualmente descuidados con el manejo de la seguridad en el manejo de su dinero.

El más importante ejemplo de este ataque en el presente 2018 es el denominado Evrial, que fue detalladamente analizado en nuestro blog, donde se muestra como este malware al estar en un equipo que realizaba transacciones en BTC, tomaba los datos de la billetera destino en el portapapeles del sistema y la reemplazaba por la dirección de la billetera del delincuente.

Pero no es la única que se ha detectado durante 2018, se informó del robo de casi U$140.000 en BTC usando CryptoShuffer y la empresa Qihoo 360 Total Security de origen Chino informó que cerca de 300.000 equipos se han visto afectados por una campaña de cryptojacking de tipo clipboard, modificando las transacciones realizadas por los usuarios de BTC y de ETH. Una de las billeteras usadas en el momento de escribir esta entrada tenía 15 transacciones realizadas, como se ve en el blockchain de BTC.

Dispositivos Móviles

Las empresas están moviendo sus servicios en los entornos móviles, por esto el incremento de conexiones a Internet, de aplicaciones corporativas y personales, redes sociales y demás se han migrado al mundo móvil, lo que conlleva a que la delincuencia busque la forma de desplegar su accionar a este mundo y el cryptojacking no es la excepción.

Aunque la capacidad de computo de los dispositivos móviles no es tan alta, la cantidad de dispositivos y la disponibilidad de los mismos permite que puedan ser usados para la minería, por lo que en el presente año se ha aumentado significativamente la detección de aplicaciones que contienen troyanos de minera de criptomonedas.

El principal ejemplo es Loapi, el cual usa la publicidad para desplegar un troyano invasivo que descarga contenido para adultos. Además incluye un minero de XMR que puede ser accionado sin detenerse hasta llegar a colapsar físicamente la batería de los dispositivos.