En lo que va de año varios informes han reportado un dramático aumento de la práctica de criptojacking. Y a pasar que las empresas de seguridad redoblan sus esfuerzos por combatir esta actividad; los hackers consiguen formas cada vez más ingeniosas para evadir las contra-medidas.
En este sentido, la empresa de ciberseguridad japonesa Trend Micro descubrió un Malware de minería camuflado en los archivos de instalación de Windows en formato .MSI.
Este formato es el de instalación de paquetes de Windows. Así que el malware se hace pasar por un paquete legítimo.
“El malware llega a la máquina de la víctima como un archivo MSI de Windows Installer, que es notable porque Windows Installer es una aplicación legítima que se usa para instalar software“, se lee en el informe. “El uso de un componente real de Windows hace que parezca menos sospechoso y, potencialmente, le permite evitar ciertos filtros de seguridad“.
Además, tiene otra serie de métodos de ofuscación. Para complicar aún más la detección del malware, al instalarse, en la ruta de destino sólo encontramos varios archivos que hacen de señuelo: uno en formato .bat, que contrarresta cualquier proceso antimalware que se ejecute en su máquina; un .exe, que es un descompresor de un tercer archivo .ico, que a su vez descifra los módulo de minería de criptomonedas.
Los investigadores también observaron que el malware tiene un mecanismo de autodestrucción incorporado para cubrir sus huellas. “Para dificultar aún más la detección y el análisis, el malware también viene con un mecanismo de autodestrucción“, señala la compañía. “Borra todos los archivos en su directorio de instalación y elimina cualquier rastro de instalación en el sistema“.
Hay que destacar que, si bien Trend Micro no pudo vincular el ataque a un país específico, observa que el instalador usa Cyrillic; muy popular hoy en día por este tipo de criminales.