Un grupo de investigadores de seguridad, han descubierto un malware que podría ser uno de los mas potentes hasta ahora, pues esta programado para infectar tu ordenador no solo con un malware minero, sino también con un ransomware, y esto lo decidirá según la configuración de tu sistema.

Tal parece que para los  hackers no es rentable enviar un ransomware a sus victimas, por lo que se han dirigido a un negocio mas lucrativo como las criptomonedas, este nuevo virus representa una variación del Rakhni, pues ahora fusiona el ramsomware con un software malicioso para minería de criptomonedas.

La variante de la familia Rakhni ransomware, fue detectada por investigadores de Kaspersky Labs. Esta escrito en Delphi, un lenguaje de programación que se creo con el propósito de agilizar la creación de software basándolo en una programación visual.

Rakhni, actualmente se ha difundido en cualquier cantidad de dispositivos, aplicando suplantación de identidad phishing, enviando correos falsos con un archivo MS Word adjunto, que si se abre, le pide a la víctima que guarde el documento y permita la edición.

El documento incluye un ícono PDF, que al clickearlo, inicia un ejecutable malicioso en la computadora de la víctima e inmediatamente muestra una ventana emergente, con un falso mensaje de error al momento de la ejecución, engañando a las víctimas para que piensen que falta un archivo de sistema para abrir el documento.

Sin duda sus creadores no dejaron nada al azar y se valieron de varias técnicas maliciosas para evitar ser detectado. Pero lo mas interesante de este malware, es el proceso para decidir si la pc es apta para minería, o si simplemente le deja un ransomware como “premio de consolación”.

¿Cómo decide el Malware qué hacer?

Cabe destacar, que antes de ejecutarse, el malware realiza muchas comprobaciones anti-VM (maquina virtual) y anti-sandbox, técnicas usadas por los atacantes para detectar y evadir entornos virtuales usados en análisis de seguridad.

Si se cumplen todas las condiciones, el malware realiza más comprobaciones para decidir la carga final de infección, es decir, ransomware o minero.

Ransomware

Si tu pc no es apta para minar, el malware instala Ransomware, si el sistema de destino tiene una carpeta ‘Bitcoin’ en la sección de AppData.

Antes de cifrar archivos con el algoritmo de cifrado RSA-1024, el malware finaliza todos los procesos que coinciden con una lista predefinida de aplicaciones populares y luego muestra una nota de rescate a través de un archivo de texto.

Minero

El malware hace un análisis de tu sistema, e instala el minero si la carpeta ‘Bitcoin’ no existe y el equipo tiene más de dos procesadores lógicos.
Si el sistema se infecta con un minero, utiliza la utilidad MinerGate para minar las criptomonedas Monero (XMR), Monero Original (XMO) y Dashcoin (DSH) en segundo plano.

Además de esto, el malware usa CertMgr.exe para instalar certificados raíz falsos, que dicen haber sido emitidos por Microsoft Corporation y Adobe Systems Incorporated, en un intento de disfrazar al minero como un proceso confiable.

Activa el troyano, si no hay una carpeta ‘Bitcoin’ y tiene solo un procesador lógico

Este componente ayuda al malware a infectar todas las computadoras ubicadas en la red local utilizando recursos compartidos.
“Para cada computadora incluida en el archivo, el troyano comprueba si la carpeta Usuarios está compartida y, de ser así, el malware se copia en la carpeta \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup de cada usuario accesible” explican los investigadores.

Cabe destacar que el malware trata todas las técnicas para evitar ser detectado, así que independientemente de qué infección se elija, el malware realiza una comprobación si se inicia uno de los procesos antivirus listados. Si no se encuentra un proceso AV en el sistema, el malware ejecutará varios comandos cmd en un intento de desactivar Windows Defender.

Sin duda, uno de los virus mas completos que pueda enfrentar la victima, así que evita abrir cualquier archivo sospechoso, y mantén tu computador protegido con un buen antivirus.

Esta variante de malware se dirige a los usuarios en Rusia (95.5%), mientras que un pequeño número de infecciones se ha detectado en Kazajstán (1.36%), Ucrania (0.57%), Alemania (0.49%) e India (0.41%) .