150 sitios falsos y un archivo sorpresa: hackers llevan el robo de criptomonedas a escala industria
¿Compraste una tarjeta gráfica potente? A los delincuentes les va a encantar.
Microsoft advirtió sobre una nueva campaña de criptojacking que se hace pasar por utilidades populares para supervisar el hardware y hacer overclocking en PCs. Los atacantes no buscan una infección masiva, sino a propietarios de tarjetas gráficas potentes aptas para la extracción de criptomonedas. Para distribuir el malware no usan solo sitios falsos en los resultados de búsqueda, sino también respuestas de chatbots de IA que pueden recomendar enlaces a recursos comprometidos.
Los especialistas de Microsoft Defender determinaron que los atacantes crearon sitios falsos para CrystalDiskInfo, HWMonitor, FurMark, Display Driver Uninstaller, K-Lite Codec Pack y PDFgear. El usuario descargaba un archivo ZIP presuntamente con el programa necesario, dentro del cual había un archivo legítimo y la biblioteca maliciosa autorun.dll. Tras la ejecución se producía la descarga oculta de componentes adicionales.
La campaña cuenta con más de 150 dominios. Parte de la infraestructura se alojó a través del servicio de DNS dinámico Dynu. Los analistas también observaron trazas de redirecciones a sitios maliciosos desde servicios de IA. Según VirusTotal, algunos enlaces aparecían en respuestas de chatbots al solicitar la descarga de programas populares.
Tras la infección, el malware instalaba ScreenConnect, una conocida herramienta de administración remota. A través de ella los operadores obtenían acceso persistente al sistema y podían cargar nuevos módulos. En Microsoft consideran que ese acceso potencialmente permite no solo ejecutar programas de minería, sino también robar datos, moverse lateralmente por la red de la empresa y desplegar ransomware.
El siguiente paso consistía en ejecutar el componente SimpleRunPE.exe, que ocultaba un minero dentro de procesos legítimos de Microsoft .NET. Para enmascararlo se usaban InstallUtil.exe, MSBuild.exe, RegAsm.exe y otras utilidades del sistema. El malware también añadía exclusiones en Microsoft Defender, comprobaba la presencia de máquinas virtuales y herramientas de análisis como Wireshark, IDA y Ghidra, y luego dejaba de funcionar si detectaba indicios de análisis del entorno.
Para la minería de criptomonedas, los atacantes utilizaban gminer, lolMiner y SRBMiner-MULTI. El malware supervisaba la actividad del usuario y la carga de la GPU. Si el propietario del PC iniciaba un juego o una aplicación exigente, el minero se detenía automáticamente para no despertar sospechas.
Microsoft informó que el Defender integrado bloquea la actividad relacionada con la campaña. La corporación recomienda activar la protección en la nube, el filtrado de red y las reglas de reducción de la superficie de ataque para protegerse contra amenazas similares.