FireEye publica un informe en el que se explica el interés de los actores de amenazas por el malware para minar criptomonedas o cryptojacking, por qué Monero es la moneda de preferencia para estas operaciones, los países y sectores más afectados, las tácticas empleadas, etc.

Para maximizar sus beneficios, los cibercriminales diseminan ampliamente su malware de minado usando varias técnicas, como incorporar módulos de cryptojacking en redes bot (botnet) existentes, ataques de criptominería por descarga, uso de aplicaciones móviles que contienen código para el cryptojacking y distribución de herramientas de cryptojacking a través de spam y utilidades de propagación automática.

Los actores de amenazas pueden usar el cryptojacking para afectar a numerosos dispositivos y extraer secretamente su potencia de computación. Algunos de los dispositivos que FireEye ha observado que son objetivo de ataque por estos esquemas de cryptojacking son:

  • Equipos endpoint de usuarios
  • Serivdores corporativos
  • Sitios web
  • Dispositivos móviles
  • Sistemas de control industrial

Las principales técnicas de distribución de malware de minado de criptomonedas son:



  • Cryptojacking en la nube. Recientemente se han observado varias operaciones que atacan específicamente las infraestructuras en la nube, lo que será un objetivo creciente del cryptojacking, ya que ofrece a los actores de amenazas un entorno con gran potencia de computación en el que ya se espera que el uso de CPU y los costes de electricidad sean elevados, por lo que permite que sus operaciones permanezcan potencialmente inadvertidas.
  • Incorporación del cryptojacking a redes bot existentes. FireEye iSIGHT Intelligence ha observado numerosos botnets destacados como Dridex y Trickbot incorporar la minería de criptomonedas a sus operaciones existentes. Muchas de estas familias son modulares y tienen la capacidad de descargar y ejecutar archivos en remoto. Aunque estas operaciones se han centrado normalmente en el robo de credenciales, añadir módulos de minado genera otra vía de beneficios con poco esfuerzo.
  • Cryptojacking al navegar. FireEye iSIGHT Intelligence ha examinado varios informes de clientes de minería de criptomonedas basada en navegadores de Internet. Se ha visto scripts de minado en sitios web comprometidos, plataformas publicitarias de terceras partes y sitios que los han colocado legítimamente. A pesar de que los scripts de minado de criptomonedas pueden ser emebidos directamente en la fuente de código de la página web, frecuentemente son cargados desde sitios web de terceras partes. Identificar sitios web con código para minar embebido puede ser difícil puesto que no todos los scripts de minado son autorizados por los editores de los sitios, como en el caso de un sitio web con su seguridad comprometida. Además, incluso en casos en los que los scripts de minado sean autorizados por el propietario de un sitio web, no siempre se comunica de forma clara a los visitantes del sitio. En estos momentos, el script más popular desplegado es Coinhive. Se trata de una librería de código abierto de JavaScript que, cuando se descarga en un sitio web vulnerable, puede minar Moner usando los recursos de la CPU del visitante del sitio, sin su conocimiento, mientras navegan por él.
  • Malvertising y Exploit kits. El malvertising (anuncios maliciosos en sitios web legítimos) normalmente redirige a los visitantes de un sitio a una página de inicio de un exploit kit. Estas páginas están diseñadas para escanear un sistema en busca de vulnerabilidades, explotar esas vulnerabilidades y descargar y ejecutar códigos maliciosos en el sistema. Cabe destacar, que los anuncios maliciosos pueden ser situados en sitios legítimos y los visitantes pueden infectarse con poca o sin interacción por su parte. Esta táctica de distribución se usa normalmente por actores de amenazas para distribuir malware de forma amplia y ha sido empleado en varias operaciones de minado de criptomonedas.
  • Cryptojacking para móviles. Además de atacar servidores empresariales y equipos de usuarios, los actores de amenazas también se han dirigido a dispositivos móviles para sus operaciones de cryptojacking. Aunque esta técnica es menos común, probablemente debido a la limitada capacidad de procesamiento que ofrecen los dispositivos móviles, esta técnica es una amenaza, ya que el consumo mantenido de energía puede dañar los dispositivos y reduce de forma drástica la vida de la batería. Se ha observado a los actores de amenazas atacar los dipositivos móviles albergando aplicaciones maliciosas de cryptojacking en tiendas populares de apps y a través de campañas de malvertising en navegador que identifican los navegadores de usuarios móviles.
  • Campañas de spam de Cryptojacking. FireEye iSIGHT Intelligence ha detectado varias compañas de malware de minado distribuidas a través de campañas de spam, lo que es una táctica muy utilizada para difundir malware indiscriminadamente. Prevemos que los actores maliciosos continuarán utilizando este método para diseminar código de cryptojacking siempre que la minería de criptomonedas siga siendo rentable.
  • Gusanos de Cryptojacking. Tras los ataques de WannaCry, los actores comenzaron a incorporar de forma creciente funcionalidades de autopropagación en el malware. Algunas de las técnicas de autodistribución observadas incluyen la copia en discos removibles, registros SSH por fuerza bruta y la utilización del exploit filtrado de la NSA EternalBlue. Las operaciones de minería de criptomonedas se benefician en gran medida de esta funcionalidad, ya que una distribución más amplia del malware multiplica la cantidad de recursos de CPU disponibles para minar. En consecuencia, estimamos que más actores continuarán desarrollando esta funcionalidad.


Métodos para evitar la detección


Otra tendencia que hay que destacar es el uso de proxys para evitar la detección. La implementación de proxys para minar es una opción atractiva para los cibercriminales porque les permite evitar el pago de comisiones o al desarrollador de un 30 por ciento o más. Al evitar el uso de servicios comunes de cryptojacking, como Coinhive, Cryptloot y Deepminer y, en su lugar, albergar scripts de cryptojacking en una infraestructura controlada por el actor de la amenaza, puede eludir muchas de las estrategias más comunes usadas para bloquear esta actividad a través de las listas negras de dominios o ficheros. Además de usar proxys , los actores también pueden establecer sus propias aplicaciones para minar alojadas por sí mismos, ya sea en servidores privados o basados en la nube que soporte Node.js. La combinación del uso de proxys y de malware para minar albergado en una infraestructura en la nube controlada por el actor de la amenaza representa un obstáculo significativo para los profesionales de seguridad, ya que ambos hacen que las operaciones de cryptojacking sean más difíciles de detectar y bloquear.