Zoom se ha vuelto tan popular que es una de las aplicaciones para videollamadas más descargadas. Tan sólo en Google Play Store registra más de 100,000,000 descargas.
Debido a su gran demanda, se ha sido utilizado una aplicación apócrifa para instalar un minero de criptomonedas.
El equipo de investigación de amenazas de SonicWall, empresa de ciberseguridad, descubrió un instalador malicioso incluido con un minero de criptomonedas (Cryptominer) que ha circulado en línea aprovechando a los usuarios desprevenidos que desean instalar la app de videoconferencia.
Sonicwall Capture ha analizado varios esquemas maliciosos en línea relacionados con el coronavirus debido a que cada vez más personas se conectan en línea desde su hogar con medidas de seguridad más relajadas, situación que los cibercriminales aprovechan para cometer ilícitos.
Recientemente este software de videoconferencia ha ganado tanta popularidad que los cibercriminales lo han visto como un vector perfecto para su actividad maliciosa. Con las medidas de protección para quedarse en casa implementadas en varios estados y ciudades del mundo en un esfuerzo por frenar la propagación del nuevo coronavirus, el uso de datos de Internet se ha disparado con más personas en línea y confinadas en sus hogares, lo que también significa una oportunidad para los cibercriminales
Andrés González, ingeniero de Ventas de SonicWall para México y Centro América y El Caribe
Cryptomining malware, o malware de minería de criptomonedas es un término relativamente nuevo que se refiere a programas de software y componentes de malware desarrollados para tomar los recursos de una computadora y usarlos para la minería de criptomonedas sin el permiso explícito del usuario.
Los ciberdelincuentes han recurrido cada vez más al malware de criptominería como una forma de aprovechar el poder de procesamiento de grandes cantidades de computadoras, teléfonos inteligentes y otros dispositivos electrónicos para ayudarlos a generar ingresos de la minería de criptomonedas.
Aunque en México los ataques de Cryptomining no son tan usuales, el equipo de SonicWall recomienda fortalecer los sistemas de seguridad.
México se encuentra entre los primeros países con ataques de ramsomware en general con 2% de ataques registrados en América del Norte, antecedido por Canadá con 9%, y Estados Unidos con 89%, de acuerdo con un análisis de la semana pasada del Security Center de SonicWall.
¿Cómo es el ciclo de infección de Cryptomining en Zoom?
El troyano utiliza el ícono Zoom y viene como un instalador compilado de Autoit.
Tras la ejecución, deja caer un instalador legítimo de Zoom y un cryptominer en los siguientes directorios:
- % Temp% Zoominstaller.exe (instalador legítimo)
- % Appdata% Roaming Microsot Windows helper.exe (cryptominer)
Luego ejecutará el instalador legítimo de Zoom y aparecerá una ventana emergente para solicitar al usuario la instalación del programa.
Mientras tanto, agrega helper.exe como una tarea programada de “Comprobación del sistema” y luego la ejecuta. Tras la ejecución de helper.exe, crea un directorio “Tor” dentro de la carpeta% Appdata% Roaming Microsoft Windows y suelta los componentes de un cliente Tor.
Una vez que finaliza una sesión de minería, el directorio Tor se elimina y se volverá a crear en la ejecución posterior, dejando muy poca evidencia de infección.
Por lo que, SonicWall invita a que solo se utilicen sitios web oficiales para la instalación de software.
