¿Dónde se esconden los mineros grises?

El problema de la minería gris sigue siendo relevante y los mineros se están volviendo más sofisticados. Intentemos descubrir cómo se disfrazan después de infiltrarse en la computadora de un usuario.

Muchos mineros grises son bastante primitivos: utilizan todos los recursos disponibles del equipo de la víctima, delatando así su presencia, sin disfrazarse de ninguna manera. Esto los hace muy fáciles de identificar y eliminar del sistema. Pero los atacantes son cada día más insidiosos y encuentran formas cada vez más astutas de evitar ser detectados. Intentemos descubrir cómo los mineros grises se esconden de la mirada atenta de los antivirus y de los usuarios atentos.

¿Cómo funciona?

Uno de los primeros programas maliciosos bastante interesantes fue Trojan.BtcMine.1259, que apuntaba a ordenadores con Windows y su objetivo principal era extraer Monero en equipos infectados. 

Inmediatamente después de iniciarse, comprueba si el sistema está infectado e instala un troyano bastante grave, Gh0st RAT, diseñado para controlar completamente el sistema de la víctima. A continuación, comprueba el número de núcleos del procesador y sólo si la potencia de procesamiento del procesador es mayor que un valor especificado, inicia el minero, utilizando no toda la potencia disponible, sino sólo un cierto porcentaje, para no revelar su presencia. Por lo tanto, el minero no se ejecuta en equipos demasiado "débiles", en los que sería fácil notar su trabajo, aunque los atacantes siguen utilizándolo como enlace en la botnet para otros fines. Al mismo tiempo, el troyano monitorea los procesos actuales y, cuando se inicia el administrador de tareas, finaliza el minero y, después de cerrar la ventana del administrador de tareas, lo inicia de nuevo.

Otro método de autodefensa para los mineros (por ejemplo, Trojan.BtcMine.1978) es iniciarlo como un proceso crítico, cuando se ve obligado a finalizar, el sistema falla en BSoD ("Pantalla azul de la muerte"). Así, los especialistas en seguridad de la empresa “360 Total Security” descubrieron que el minero WinstarNssmMiner está integrado en el proceso del sistema svchost.exe, lanzando simultáneamente un minero Monero y un proceso paralelo que monitorea la actividad de los antivirus y programas de monitoreo de procesos y recursos. El proceso de seguimiento desactiva el minero cuando se inicia el antivirus Kaspersky o Avast. Al ejecutar otros antivirus, el troyano bombardea al usuario con mensajes de error del sistema, bloquea el funcionamiento de los programas y del sistema y, en algunos casos, incluso bloquea el sistema en un BSoD... Según los expertos, en los primeros 3 días de funcionamiento, el minero extrajo 133 monedas Monero (que al precio actual asciende a unos 17.000 dólares).

Hace unos días, el analista del portal Bleeping Computer, Lawrence Abrams describió un troyano "WindowsRecoveryCleaner". Su peculiaridad es que deja de funcionar cuando se ejecutan aplicaciones cuyo funcionamiento puede verse afectado por su actividad, y en particular juegos populares que requieren un alto rendimiento del ordenador. Para hacer esto, el troyano crea una tarea con el siniestro nombre WindowsRecoveryCleaner, que inicia el proceso Iostream.exe una vez por minuto, lo que permite que el minero se inicie muy rápidamente una vez completado su trabajo. 

Inmediatamente después del inicio, la aplicación de control Iostream incorpora el código minero en el archivo ejecutable del sistema C:\Windows\system32\attrib.exe (que se utiliza para cambiar los atributos del archivo y finaliza inmediatamente después de una operación exitosa) y lo inicia. Después de lo cual Iostream permanece en la memoria y monitorea la lista de procesos en ejecución. Tan pronto como aparecen entre ellos Process Explorer, Task Manager, Process Monitor, Process Hacker, AnVir Task Manager, PlayerUnknown's Battlegrounds (PUBG), Counterstrike: Global Offensive, Rainbox Six o Dota 2, finaliza su trabajo (Iostream.exe) y el trabajo del minero (attrib.exe). La tarea del sistema WindowsRecoveryCleaner inicia el proceso de control de Iostream una vez por minuto, que verifica si alguna aplicación de la "lista negra" se está ejecutando y, si el horizonte está despejado, inicia el minero. Este troyano es uno de los más modernos y está hábilmente oculto a los usuarios.

No sólo los mineros complejos que profundizan en el sistema aprenden a esconderse, sino también los mineros simples de JavaScript. Así, a finales de 2017, el experto en Malwarebytes Jerome Segura descubrió en el sitio yourporn.sexy un código minero de navegador que no se ejecutó en la ventana principal del navegador, sino en una nueva ventana, que se ubica en la esquina inferior derecha de la pantalla (la ubicación se calcula dinámicamente dependiendo del tamaño de la pantalla del usuario: la posición horizontal se calcula como el ancho de la pantalla menos 100 píxeles, y la posición vertical es la altura de la pantalla menos 40 píxeles).. 

Por lo tanto, para los usuarios con configuraciones de visualización de barra de tareas estándar, la ventana del minero está oculta detrás de la barra de tareas de Windows. El atacante utilizó una versión modificada del minero JavaScript Coinhive, que ya describimos en nuestro artículo "Una nueva ronda de minería gris: minería basada en navegador". El script parásito no utiliza el procesador a plena capacidad, lo que reduce en gran medida la probabilidad de ser detectado. Debido al hecho de que está oculto en una ventana separada, oculto a miradas indiscretas, continúa funcionando incluso después de que el usuario cierra la ventana del navegador usando el botón "X".

Por lo tanto, incluso si ha cerrado todas las ventanas del navegador y su computadora todavía está activamente ocupada con algo, preste atención a si el ícono del navegador en la barra de tareas está activo y también verifique la lista de procesos en el administrador de tareas y asegúrese de que no haya ningún proceso suyo en ejecución. navegador

Para que el minero sea más difícil de detectar en el código fuente de la página y no se note a primera vista, el script puede hacerse pasar por código de Google Analytics. Este comportamiento fue informado por primera vez por la Inteligencia de seguridad de Windows Defender en una publicación en Twiiter.

Como puede ver, los mineros grises modernos se esconden cada vez mejor, y a menudo sacrifican el rendimiento. A primera vista, puede parecer que los piratas informáticos pierden una parte importante de sus beneficios. Pero, en realidad, esto no es así. Después de todo, les resulta mucho más rentable mantener una enorme red de equipos infectados, lo que les genera constantemente pequeños ingresos, que ser codiciosos y ser detectados inmediatamente debido a una gran carga del procesador.

Métodos de “tratamiento”.

Incluso si no le teme a la minería gris y no le molesta la carga excesiva de su dispositivo, es imperativo deshacerse por completo del troyano que ha entrado en su territorio. Los mineros troyanos modernos no tienen el único propósito de ganar dinero con su poder; cuando se infecta, se instala en el dispositivo todo un complejo de software de control remoto, lo que convierte su dispositivo en un robot obediente de una gran red.. Con su ayuda, los atacantes tienen acceso completo a todos sus archivos, pueden iniciar y eliminar cualquier proceso en el sistema, cambiar su configuración, iniciar cualquier conexión de red y participar en ataques DDoS.

En lugar de la aplicación estándar de supervisión de procesos "Administrador de tareas" de Windows, los expertos recomiendan utilizar "Process Explorer" de Microsoft. Este programa le permite saber exactamente qué aplicación está utilizando un archivo en particular, mostrará qué bibliotecas utiliza la aplicación, mostrará su propietario y mostrará la carga tanto en el procesador central como en el de gráficos. Con la ayuda de "Process Explorer", incluso un usuario sin mucha experiencia puede identificar a un huésped no invitado. También existe una solución gratuita menos común (lo cual es bueno porque no todos los troyanos lo conocen y, en consecuencia, no todos se esconden de él) "AnVir Task Manager, que le permite monitorear todos los recursos y procesos en el sistema, indicando el nivel de su amenaza. Para usuarios más avanzados, hay complejos más complejos, por ejemplo AIDA64, que proporciona una descripción general y diagnóstico completo de todas las funciones de la computadora, y también monitorea el estado del sistema en tiempo real, es decir, muestra la carga actual en los componentes clave del sistema. La ventaja de este complejo es que hay versiones para Windows y Android, iOS y Windows Phone.

Hoy en día, la mayoría de los programas y sistemas antivirus son capaces de identificar y neutralizar mineros ocultos, por lo que, para protegerse contra ellos, recomendamos encarecidamente utilizar el último software de seguridad y complementos de navegador para bloquear la minería de JavaScript. Pero tampoco debes bajar la guardia y continuar siempre monitoreando tú mismo el estado de tu sistema.