Los investigadores de seguridad de la firma Trend Micro han descubierto que los hackers modificaron el ransomware XiaoBa para incorporarle el código de Coinhive y minar criptomonedas.

Generalmente, XiaoBa es cargado en una PC, encripta sus archivos y los mantiene secuestrados hasta que el usuario pague el rescate a los hackers. Sin embargo, el informe de seguridad revela que con esta nueva modificación, el malware inyecta el código de minería de Coinhive en los archivos HTM y HTML utilizados por la PC vulnerada.

Como hemos informado anteriormente, Coinhive es un componente basado en JavaScript que es incorporado a los sitios web. En concreto, Coinhive utiliza los recursos de hardware de la PC de los visitantes de dichos sitios para extraer criptomonedas, haciendo que el rendimiento del ordenador disminuya considerablemente durante el proceso.

Usualmente, la minería con Coinhive termina cuando el usuario abandona el sitio web, lo que hace que el procesador vuelva a su funcionamiento correcto. Sin embargo, se ha probado la existencia de Coinhive en algunas extensiones de navegador, lo que hace que sea casi imposible escapar de sus acciones mientras el usuario navega en Internet.

La nueva variante del malware XiaoBa tiene un comportamiento distinto, es decir, esta vez se propaga de un ordenador a otro conectado a una red local, lo que aparentemente permite generar mayores ganancias a los hackers. Sin embargo, esto no es lo peor, porque al parecer XiaoBa ahora también elimina archivos del sistema, infectando en primer lugar los archivos binarios legítimos (exe, scr, com, pif) y destruyéndolos durante el proceso.

La firma de seguridad ha dicho que XiaoBa logra infectar archivos de cualquier tamaño, dando paso a diversas infecciones en la misma PC. Por ello, el ordenador se queda en una especie de estancamiento porque los recursos del sistema se consumen por la minería y por la pila de infecciones que consumen una gran cantidad de espacio de almacenamiento.

Este malware se propaga principalmente vía correo electrónico y estafas en redes sociales, invitando a las víctimas a acceder al enlace con el archivo malicioso. Una vez en el sistema XiaoBa deshabilita las notificaciones del panel de control de Windows y bloquea el acceso a los sitios web relacionados con software antivirus.

Escribir un comentario