El criptojacking, que es el minado no autorizado, oculto y malicioso de criptomonedas.
ESET, Kaspersky Lab y PandaLabs han hecho seguimiento de la evolución del criptojacking. Precisamente con esas tres compañías ha hablado Silicon.es para profundizar en la naturaleza de este malware, su proceso de infección, los dispositivos más vulnerables, las monedas que interesan en mayor medida a los ciberdelincuentes y las consecuencias que tiene caer en sus redes.
¿Cómo funciona el malware para la minería de divisas?
Una de las características del malware para minar criptomonedas es que “el proceso de infección puede ser muy variado”, tal y como analiza Luis Corrons, director técnico de PandaLabs. El proceso de infección se puede iniciar por la existencia de “vulnerabilidades” como la de día cero que afectó a Telegram, con “publicidad engañosa” en redes sociales y otras páginas, a través de archivos “adjuntos en correo” electrónico… Josep Albors, responsable de concienciación de ESET España corrobora que “existen varios vectores de ataque utilizados para propagar esta amenaza”, que “van desde la descarga de aplicaciones de minado desde webs o plataformas de publicidad comprometidas hasta la instalación de este software tras acceder al sistema rompiendo las contraseñas por fuerza bruta”.
Aunque “el más común actualmente”, según Albors, “consiste en inyectar un código de minado en páginas web de todo tipo para que, una vez los usuarios las visiten, empiecen a minar de forma automática usando sus propios recursos pero beneficiando a los delincuentes”. El malware permanecería oculto, con los usuarios ajenos a él. Además, le beneficia el hecho de que necesita apenas unas líneas de código para causar el mal.
Vicente Díaz, analista de seguridad de Kaspersky Lab destaca, por su parte, que “en una gran cantidad de casos” la infección “se produce a través de correos con adjuntos maliciosos”. Pero, como “existen distintas campañas” y “cada una de ellas utiliza distintos métodos”, también puede ser que, “al visitar ciertas páginas web” haya “código que se ejecuta localmente en nuestro equipo para minar mediante kits de explotación o a partir de JavaScript”. Al final, “básicamente eso supone la ejecución no autorizada de un programa en nuestro equipo que gastará gran cantidad de recursos para obtener criptomoneda y que irá a parar a la cuenta del atacante”, resume Díaz.
Y es que sea cual sea el canal utilizado, la finalidad que se persigue es la misma. Lo que sucede es que “el malware de minado utiliza nuestra CPU para generar monedas virtuales” sin consentimiento y, “para ello, necesita un uso intensivo del procesador”, tal y como indica Luis Corrons. Esto quiere decir que, “cuantas más máquinas infecte, mayor serán los beneficios obtenidos”. Por lo que estar presente en todos los dispositivos que les sea posible será uno de los objetivos de los ciberdelincuentes que recurren al criptojacking, dando lugar a auténticas botnets.
¿Cuáles son las monedas y los dispositivos afectados?
Así las cosas, ¿qué dispositivos persiguen los cibercriminales? “La mayoría de casos afectan a Windows. No obstante se han detectado casos en muchos dispositivos menos habituales, como servidores en universidades, dispositivos móviles o incluso equipos Mac”, responden desde Kaspersky Lab. En la española Panda también detectan que Windows es donde “mayoritariamente” se concentra el rastro del criptojacking porque “es donde hay más usuarios, pero” este malware se interesa asimismo por “Android y Mac”.
“Además”, añade el director técnico de PandaLabs, Luis Corrons, “últimamente se están popularizando variantes multiplataforma, realizadas en JavaScript, que funcionan en cualquier dispositivo que tenga un navegador”. Es decir, que el minado puede funcionar en un ordenador, en tabletas o directamente en un smartphone sin que el tipo de dispositivo suponga un problema. De hecho, los investigadores de seguridad han descubierto aplicaciones móviles diseñadas específicamente para tareas de minería.
“Actualmente, cualquier dispositivo conectado a internet es un posible objetivo de los delincuentes”, subraya el representante de ESET. “Obviamente, su principal objetivo son los ordenadores por la mayor potencia de la que disponen”, explica Josep Albors, “pero también existen amenazas que infectan smartphones, tablets y otros dispositivos del IoT como SmartTVs, routers, cámaras web y hasta tostadoras conectadas”, que se suman a una larga lista. Aquí también entran los decodificadores, los wearables y los coches conectados. Ni siquiera los centros de datos de las organizaciones están a salvo. Tampoco los sistemas industriales.
¿Y qué monedas se encuentran en el punto de mira? Para Luis Corrons “hay dos que brillan con luz propia”, que son: bitcóin por su popularidad y precio actual, y Monero porque es ideal para ciberdelincuentes por el anonimato que proporciona”, que es “muchísimo mayor que el Bitcoin”. El extendido criptojacker Coinhive, sin ir más lejos, actúa en el ámbito de Monero.
Sobre Monero se refiere asimismo Albors, que dice que es “una de las preferidas por los delincuentes para minar utilizando los recursos de sus víctimas”. Las razones son evidentes. “Sus mejoras con respecto a la privacidad si la comparamos con otras criptodivisas como bitcóin la hacen muy atractiva”, reconoce el responsable de concienciación de ESET España. “Otra moneda utilizada tanto para minar con este tipo de ataques como para realizar pagos en la Deep Web es Litecoin”, apunta.
El analista de Kaspersky Lab, Vicente Díaz, lo tiene igual de claro. “En general la que más se explota mediante estos métodos es Monero, seguramente por ser una de las que tiene más garantías en cuanto al anonimato”, argumenta también en su caso. “No obstante”, matiza, “cualquier moneda puede ser minada siguiendo estos métodos”. Llámese Ripple, Zcash, Fantomcoin… Y así se complica todavía más la cosa. El malware de criptojacking puede utilizar diferentes métodos de infección para colarse en cualquier dispositivo con conexión a internet para minar todo tipo de monedas digitales.
¿Qué peligros entraña esta amenaza?
Por último, ¿qué estragos puede causar esta ciberamenaza cada vez más utilizada? ¿Por qué es peligrosa? O, para ser claros, ¿es peligrosa? “No es peligrosa en cuanto a datos robados o destrucción de información”, opina Luis Corrons, director técnico de PandaLabs, “pero al hacer un uso intensivo del procesador, incrementa el gasto en la factura de la luz” y “ralentiza nuestros dispositivos”, entre otras consecuencias como el sobrecalentamiento de la batería.
“Se trata de un nuevo abuso no autorizado de nuestros recursos para el lucro de un tercero”, señala el analista de seguridad de Kaspersky Lab, Vicente Díaz. Por tanto, “un programa de minado es extremadamente agresivo en cuanto a consumo de recursos, lo que se traduce en una degradación del rendimiento que puede dejar nuestros equipos inservibles para realizar cualquier otra tarea, lo cual puede ser crítico en servidores que ofrezcan servicios a terceros”, por ejemplo. Para Díaz “también es muy relevante el consumo de energía, que puede dejar KO a dispositivos portátiles rápidamente”, como una posibilidad, “o multiplicar por 10 el consumo eléctrico destinado a nuestros equipos”, como otro efecto que podría darse.