Zoom se ha vuelto tan popular que es una de las aplicaciones de software más descargadas, sin embargo, el equipo de investigación de amenazas de SonicWall descubrió un instalador malicioso incluido con un minero de criptomonedas o Cryptominer que ha estado circulando en línea aprovechando a los usuarios desprevenidos que desean instalar este programa de videoconferencia.
“Recientemente este software de videoconferencia ha ganado tanta popularidad que los cibercriminales lo han visto como un vector perfecto para su actividad maliciosa. Con las medidas de protección para quedarse en casa implementadas en varios estados y ciudades del mundo en un esfuerzo por frenar la propagación del nuevo coronavirus, el uso de datos de Internet se ha disparado con más personas en línea y confinadas en sus hogares, lo que también significa una oportunidad para los cibercriminales”, señaló Andrés Gonzalez, Ingeniero de Ventas de SonicWall para México y Centro América y El Caribe.
Cryptominer malware, o malware de minería de criptomonedas o simplemente cryptojacking, es un término relativamente nuevo que se refiere a programas de software y componentes de malware desarrollados para tomar los recursos de una computadora y usarlos para la minería de criptomonedas sin el permiso explícito del usuario.
Los ciberdelincuentes han recurrido cada vez más al malware de criptominería como una forma de aprovechar el poder de procesamiento de grandes cantidades de computadoras, teléfonos inteligentes y otros dispositivos electrónicos para ayudarlos a generar ingresos de la minería de criptomonedas.
Aunque en México los ataques cryptominer no son tan usuales, el equipo de SonicWall recomienda fortalecer los sistemas de seguridad, ya que de acuerdo con un análisis de la semana pasada del Security Center de SonicWall:
México se encuentra entre los primeros países con ataques de Ramsomware en general con un 2% de ataques registrados en América del Norte, antecedido por Canadá con el 9%, y Estados Unidos con el 89%.
Ciclo de infección de Cryptominer en Zoom:
El troyano utiliza el ícono Zoom y viene como un instalador compilado de Autoit.
Tras la ejecución, deja caer un instalador legítimo de Zoom y un cryptominer en los siguientes directorios:
⦁ % Temp% \ Zoominstaller.exe (instalador legítimo)
⦁ % Appdata% \ Roaming \ Microsot \ Windows \ helper.exe (cryptominer)
Luego ejecutará el instalador legítimo de Zoom y aparecerá una ventana emergente para solicitar al usuario la instalación del programa.
Mientras tanto, agrega helper.exe como una tarea programada de «Comprobación del sistema» y luego la ejecuta. Tras la ejecución de helper.exe, crea un directorio «Tor» dentro de la carpeta% Appdata% \ Roaming \ Microsoft \ Windows \ y suelta los componentes de un cliente Tor.
Una vez que finaliza una sesión de minería, el directorio Tor se elimina y se volverá a crear en la ejecución posterior, dejando muy poca evidencia de infección.
“Instamos a nuestros usuarios a que solo usen sitios web oficiales y de buena reputación como su fuente de instalación de software. Siempre esté atento y cauteloso al instalar programas de software, especialmente si no está seguro de la fuente”, señaló el Ingeniero de Ventas de SonicWall para México y Centro América y El Caribe.