Microsoft descubrió un minero oculto en un paquete de fuentes

Microsoft dijo que los piratas informáticos piratearon un paquete de fuentes instalado por un editor de PDF y lo utilizaron para instalar un minero de criptomonedas en las computadoras de los usuarios.

La empresa descubrió el incidente después de que sus empleados recibieran alertas de Windows Defender ATP (una versión comercial del antivirus Windows Defender).

Los empleados de Microsoft dijeron que investigaron las alertas y determinaron que los piratas informáticos habían comprometido la infraestructura del servidor en la nube de la empresa, que proporciona paquetes de fuentes como archivos MSI a otras empresas de software. Uno de ellos utilizó estos paquetes para su aplicación de edición de PDF, que descargó de los servidores en la nube del proveedor de fuentes durante el procedimiento de instalación del editor.

"Los atacantes recrearon toda la infraestructura de [la empresa de desarrollo] en un servidor réplica, que era propiedad de los atacantes y estaba controlado por ellos. Copiaron y alojaron todos los archivos MSI en él, incluidos los paquetes de fuentes firmadas limpias", dijeron los investigadores de seguridad de Microsoft. "Los atacantes descompilaron y modificaron uno de los paquetes de fuentes asiáticas para incluir un minero de criptomonedas oculto", agregaron.

"Usando una vulnerabilidad desconocida (que no parece ser MITM o por interceptando DNS), los atacantes pudieron influir en los parámetros de descarga utilizados por la aplicación. Los parámetros incluían un nuevo enlace de descarga que apuntaba al servidor del atacante", dijo Microsoft.

Los usuarios que descargaron e iniciaron la aplicación de edición de PDF instalaron sin saberlo paquetes de fuentes, incluidos algunos maliciosos, desde el servidor de los piratas informáticos. Debido a que la aplicación de edición de PDF se instaló usando privilegios de nivel SISTEMA, el código minero malicioso oculto obtuvo acceso completo al sistema del usuario. El malware creó su propio proceso llamado xbox-service.exe, que se dedicaba a extraer criptomonedas en la computadora de la víctima.

Microsoft dijo que Windows Defender ATP detectó un comportamiento específico de los mineros. Luego, los investigadores rastrearon los orígenes de este proceso hasta un instalador de editor de PDF y un paquete de fuentes MSI...

Afirmaron que era fácil determinar qué paquete de fuentes MSI era malicioso porque todos los demás archivos MSI estaban firmados por la empresa de software original, excepto un archivo que perdió su autenticidad cuando los estafadores le inyectaron código minero.

Este minero gris también llamó la atención de los especialistas porque también intentó cambiar el archivo de hosts en un débil intento de desactivar las operaciones de actualización de varias aplicaciones de seguridad. La mayoría de los programas antivirus marcan las operaciones con el archivo hosts en Windows como sospechosas o maliciosas.

Microsoft no reveló los nombres de las dos empresas de software involucradas en este incidente, indicando únicamente que las empresas pirateadas no son actores importantes en el mercado de software PDF. El fabricante del sistema operativo afirma que el malware solo estuvo activo entre enero y marzo de 2018 y que el problema afectó a un pequeño número de usuarios.

Basado en materiales de BleepingComputer.com