En la actualidad, con el continuo desarrollo del cibercrimen y su implacable búsqueda por monetizar al máximo sus actividades maliciosas, es usual encontrar cada vez más familias de malware vinculadas con la criptominería.
Adicionalmente, más allá de cómo son detectados algunos códigos maliciosos, existen muchas aplicaciones potencialmente no deseadas (PUAs) que también realizan estas acciones sin advertirle claramente al usuario.
Estos fenómenos no serían posibles sin la gran expansión que ha sufrido el mercado de las criptomonedas en los últimos años, logrando atraer no solo la atención de los cibercriminales, sino también de muchos desarrolladores que han implementado sus propios algoritmos de minería de código abierto sin tener relación alguna con actividades maliciosas.
Este incremento repentino en la oferta de mineros de código abierto facilita enormemente la tarea de los desarrolladores de malware, permitiendo integrar rápidamente sus funcionalidades con las del código malicioso e incluso modificarlos para dificultar su detección y que se adapten correctamente a las demás actividades maliciosas realizadas por el cibercriminal.
Por otra parte, resulta imposible hablar de malware y criptominería sin mencionar a Monero, una criptomoneda cuyo diseño y características de privacidad la transforman en la opción predilecta de los cibercriminales.
La existencia de este tipo de criptomonedas contribuye a la existencia del malware de minería, ya que representa una vía difícil de rastrear mediante la cual transferir y retirar las ganancias generadas por las víctimas, algo que explicaremos más adelante en este artículo.
Esta combinación de factores presenta un caldo de cultivo ideal para la proliferación de nuevas familias de malware con capacidades de criptominería.
¿Qué es XMRig?
Dentro de los diferentes software de minería se destaca XMRig, una tecnología de código abierto creada para facilitar el acceso a la criptominería pero que desafortunadamente ha venido cobrando cada vez mayor relevancia en el ambiente del malware al ser adoptada por los cibercriminales como parte de sus campañas maliciosas.
Esta tendencia se da nivel mundial e incluso desde los comienzos de XMRig, siendo utilizado para fines maliciosos desde fechas cercanas a su lanzamiento hasta en campañas recientes y sofisticadas. Como es esperable, Latinoamérica no es la excepción a este comportamiento e incluso se han registrado fuertes incrementos de su presencia en amenazas que afectan a esta región.
Tal es el caso de botnets como VictoryGate, especialmente dirigidas a países de la región, o botnets como Phorpiex, presentes en todo el mundo; las cuales distribuyen este minero en todos equipos que infectan. Cabe destacar que XMRig no es utilizado únicamente con propósitos maliciosos, ya que es empleado de forma legítima por una gran comunidad de mineros cuyo único objetivo es obtener un redito económico.
Con el objetivo de analizar esta tendencia en la adopción de XMRig por parte de los cibercriminales a lo largo de los últimos años, hemos seleccionado las 15 principales variantes de CoinMiner con mayor número de detecciones registradas por los productos de ESET en Latinoamérica durante 2017, 2018 y 2019, para sistemas con Windows y arquitecturas de 32 y 64 bits, e identificado cuales de ellas están relacionadas a éste.
NotiVeraz