Con el continuo desarrollo del cibercrimen y la búsqueda por monetizar al máximo sus actividades maliciosas, es muy común encontrar cada vez más familias de malware vinculadas con minar criptomonedas.
ESET Latinoamérica analizó los diferentes tipos de malware de criptominería y las acciones que estos realizan e identificó que gran parte de estas amenazas utilizan las mismas herramientas y protocolos. Uno de los puntos en común es XMRig, un minero de código abierto, que es utilizado por hasta el 73% del malware dedicado a la minería de criptomonedas en América Latina para ciertas plataformas, cuyo objetivo es añadir funcionalidades de criptominería al malware.
“Más allá de cómo son detectados algunos códigos maliciosos, existen muchas aplicaciones potencialmente no deseadas (PUAs) que también realizan estas acciones sin advertirle claramente al usuario. Estos fenómenos no serían posibles sin la gran expansión que ha sufrido el mercado de minar criptomonedas en los últimos años, logrando atraer no solo la atención de los cibercriminales, sino también de muchos desarrolladores que han implementado sus propios algoritmos de minería de código abierto sin tener relación alguna con actividades maliciosas.”, mencionan Alan Warburton y Daniel Kundro, Investigadores de Seguridad Informática del Laboratorio de ESET Latinoamérica.
El incremento repentino en la oferta de mineros de código abierto facilita la tarea de los desarrolladores de malware, permitiendo integrar rápidamente sus funcionalidades con las del código malicioso e incluso modificarlos para dificultar su detección y que se adapten correctamente a las demás actividades maliciosas realizadas por el cibercriminal.
Tratar la temática de malware y criptominería implica mencionar a Monero, una criptomoneda cuyo diseño y características de privacidad la transforman en la opción predilecta de los cibercriminales. La existencia de este tipo de criptomonedas contribuye a la existencia del malware de minería, ya que representa una vía difícil de rastrear mediante la cual transferir y retirar las ganancias generadas por las víctimas. Esta combinación de factores representa un ideal para la proliferación de nuevas familias de malware con capacidades de criptominería.
Dentro de los diferentes software de minería se destaca XMRig, una tecnología de código abierto creada para facilitar el acceso a la criptominería. No es utilizado únicamente con propósitos maliciosos, ya que es empleado de forma legítima por una gran comunidad de mineros para obtener un redito económico, pero también cobra cada vez mayor relevancia en el ambiente del malware al ser adoptada por cibercriminales como parte de sus campañas maliciosas. Latinoamérica no es la excepción a este comportamiento e incluso se han registrado fuertes incrementos de su presencia en amenazas que afectan a esta región. Tal es el caso de botnets como VictoryGate, especialmente dirigidas a países de la región, o botnets como Phorpiex, presentes en todo el mundo; las cuales distribuyen este minero en todos equipos que infectan.
ESET analizó la tendencia en la adopción de XMRig por parte de cibercriminales a lo largo de los últimos años, seleccionando las 15 principales variantes de CoinMiner con mayor número de detecciones registradas por los productos de ESET en Latinoamérica durante 2017, 2018 y 2019. Como resultado se identificó que el 20% de las variantes más relevantes de CoinMiner para Win32 durante el año 2017 están asociadas a XMRig, mientras que en el año 2018 este número se duplica (40%) y finalmente, en el año 2019 aumenta al 73%. Para el caso de plataformas Win64, en el año 2017 el 26% de las variantes más relevantes están asociadas a XMRig, mientras que en el año 2018 se corresponde el 60% y finalmente, en el año 2019 se reduce ligeramente al 53%.
“Si bien solo hemos realizado un muestreo de las 15 variantes de Coinminer más frecuentes para cada año, esta cantidad representa más del 80% de las detecciones totales y por lo tanto es suficiente para tener una noción de la tendencia en el nivel de adopción y de cómo varía la misma», agregaron los investigadores.
De acuerdo a ESET, es probable que el uso de XMRig frente a otras tecnologías de minar criptomonedas de código abierto continúe en ascenso durante el 2020, aunque a un ritmo menos marcado, ya que se encuentra en un punto de adopción muy alto. Adicionalmente, siguiendo la tendencia observada en los últimos años, también puede preverse un aumento en la cantidad de infecciones asociadas a este minero, especialmente en sistemas Win64.