Es ya conocida la propagación de cierto malware que se instala en el navegador Chrome y ejecuta un minero de Monero en los equipos con sistema operativo Windows de las víctimas. Este malware se propaga a través de redes sociales como Facebook, específicamente a través del Messenger de esa red social.
El Stealth mining es una nueva innovación para generar ingresos en línea que ha sido utilizada de manera muy poco ética. Se conoció de alto perfil en septiembre de 2017 cuando se descubrió que un popular sitio de torrents, The Pirate Bay, utilizaba el software de minería JavaScript Monero de Coinhive para tomar secretamente el poder de CPU de los visitantes del sitio para extraer la criptomoneda monero sin el consentimiento de los visitantes.
La criptografía minera se hace tradicionalmente en la propia computadora. Quienes aún siguen explotando este método de minería sin consentimiento de los particulares instalan el software de minería en muchas computadoras sin que sus dueños lo sepan, aumentan así la potencia de hash y usan esas máquinas (y su electricidad) para asegurar las recompensas en bloque que se acreditan a la cuenta del abusador. Literalmente es como tener esclavos, haciendo que otros trabajen para ti sin compensarles.
Una cita del sitio web Malwarebytes plantea una posición al respecto:
«No afirmamos que CoinHive es malicioso, o incluso necesariamente una mala idea. El concepto de permitir a la gente optar por una alternativa a la publicidad, que ha estado plagada de todo, desde noticias falsas hasta publicidad maliciosa, es noble. La forma de ejecución eso es otra historia «.
Digimine bot
En el caso que nos ocupa, este bot fue codificado en el lenguaje de programación AutoIt. Se presenta como un archivo de video, pero en realidad es un script ejecutable de AutoIt. Para poder funcionar requiere un par de condiciones concurrentes: En primer lugar, la víctima debe estar utilizando el sistema operativo Windows y en segundo lugar, la víctima debe estar utilizando Facebook Messenger en el navegador web Google Chrome (y previamente debe haber iniciado sesión en su cuenta de Facebook).
El bot se propaga a otras víctimas accediendo a las cuentas de Facebook Messenger de los usuarios a través del navegador Chrome y enviando un enlace disfrazado como un archivo de video con el nombre de archivo «video_xxxx.zip» a los amigos de Facebook de esa cuenta a través de Messenger. Si se hace clic en el enlace, el malware se descarga en el equipo de la víctima y el registro de Windows se altera para ejecutar automáticamente el malware. Luego, éstese instala en la extensión de Chrome a través de la línea de comandos que ejecuta Monero miner y también se propaga enviando un nuevo enlace en un mensaje a todos los amigos de la nueva víctima en Facebook. Y así sucesivamente de manera viral.
Según la firma Trend Micro, quienes presentaron un informe al respecto el pasado 21 de diciembre, Digimine se observó por primera vez en Corea del Sur, pero se ha extendido rápidamente a Vietnam, Azerbaiyán, Ucrania, Filipinas, Tailandia y Venezuela.
Sin embargo la propagación de este malware depende fundamentalmente de los errores humanos basados en el descuido. Si se percatan en el contenido de mensaje que contiene el video, el archivo .zip tiene una extensión que dice «.mp4.exe». Pero como ocurre muchas veces, las personas no siempre tienen tiempo para observar detenidamente sus mensajes y hacen clic en los enlaces sin revisarlos primero.
Es importante tener presente que la mejor defensa contra la propagación masiva de estos malwares es aumentar la concienciación. Aunque ya existen varias extensiones de navegador para bloquear estos mineros furtivos, siempre la actitud racional y prudente ayudarán a prevenir molestias y daños en los equipos.
