Con el continuo desarrollo del cibercrimen y su búsqueda por monetizar al máximo sus actividades maliciosas, es usual encontrar cada vez más familias de malware vinculadas con la criptominería. ESET Latinoamérica, especialista en la detección de amenazas, analizó los diferentes tipos de malware de criptominería e identificó que gran parte de estas amenazas utilizan las mismas herramientas y protocolos. Uno de los puntos en común es XMRig, un minero de código abierto, que es utilizado por hasta el 73% del malware dedicado a minar criptomonedas en América Latina para ciertas plataformas, cuyo objetivo es añadir funcionalidades de criptominería al malware.
Imagen por Wit Olszewski vía Shutterstock
Los investigadores de ESET Latinoamérica Alan Warburton y Daniel Kundro, señalan:
“Más allá de cómo son detectados algunos códigos maliciosos, existen muchas aplicaciones potencialmente no deseadas (PUAs) que también realizan estas acciones sin advertirle claramente al usuario. Estos fenómenos no serían posibles sin la gran expansión que ha sufrido el mercado de las criptomonedas en los últimos años, logrando atraer no solo la atención de los cibercriminales, sino también de muchos desarrolladores que han implementado sus propios algoritmos de minería de código abierto sin tener relación alguna con actividades maliciosas”.
El incremento repentino en la oferta de mineros de código abierto facilita la tarea de los desarrolladores de malware, permitiendo integrar rápidamente sus funcionalidades con las del código malicioso e incluso modificarlos para dificultar su detección y que se adapten correctamente a las demás actividades maliciosas realizadas por el cibercriminal.
Monero
Tratar la temática de malware y criptominería implica mencionar a Monero, una criptomoneda cuyo diseño y características de privacidad la transforman en la opción predilecta de los cibercriminales. La existencia de este tipo de criptomonedas contribuye a la existencia del malware de minería, ya que representa una vía difícil de rastrear mediante la cual transferir y retirar las ganancias generadas por las víctimas. Esta combinación de factores representa un ideal para la proliferación de nuevas familias de malware con capacidades de criptominería.
Software de minería XMRig
Dentro de los diferentes software para minar criptomonedas se destaca XMRig, una tecnología de código abierto creada para facilitar el acceso a la criptominería. No es utilizado únicamente con propósitos maliciosos, ya que es empleado de forma legítima por una gran comunidad de mineros para obtener un redito económico, pero también cobra cada vez mayor relevancia en el ambiente del malware al ser adoptada por los cibercriminales como parte de sus campañas maliciosas. Latinoamérica no es la excepción a este comportamiento e incluso se han registrado fuertes incrementos de su presencia en amenazas que afectan a esta región. Tal es el caso de botnets como VictoryGate, especialmente dirigidas a países de la región, o botnets como Phorpiex, presentes en todo el mundo; las cuales distribuyen este minero en todos equipos que infectan.
Tendencia en la adopción de XMRig por parte de los cibercriminales
ESET analizó la tendencia en la adopción de XMRig por parte de los cibercriminales a lo largo de los últimos años, seleccionando las 15 principales variantes de CoinMiner con mayor número de detecciones registradas por los productos de ESET en Latinoamérica durante 2017, 2018 y 2019. Como resultado se identificó que el 20% de las variantes más relevantes de CoinMiner para Win32 durante el año 2017 están asociadas a XMRig, mientras que en el año 2018 este número se duplica (40%) y finalmente, en el año 2019 aumenta al 73%. Para el caso de plataformas Win64, en el año 2017 el 26% de las variantes más relevantes están asociadas a XMRig, mientras que en el año 2018 se corresponde el 60% y finalmente, en el año 2019 se reduce ligeramente al 53%.
Agregan los investigadores de ESET Latinoamérica
“Si bien solo hemos realizado un muestreo de las 15 variantes de Coinminer más frecuentes para cada año, esta cantidad representa más del 80% de las detecciones totales y por lo tanto es suficiente para tener una noción de la tendencia en el nivel de adopción y de cómo varía la misma.”.
Según ESET, esperan que el uso de XMRig frente a otras tecnologías de minería de código abierto continúe en ascenso durante el 2020, aunque a un ritmo menos marcado, ya que se encuentra en un punto de adopción muy alto. Adicionalmente, siguiendo la tendencia observada en los últimos años, también puede preverse un aumento en la cantidad de infecciones asociadas a este minero, especialmente en sistemas Win64.
