Noticias de seguridad

Avast bloqueó más de 34 millones de ataques para minar Monero

Denis Konopiský, 5 diciembre 2017

Una extensión maliciosa para Chrome intentó infectar a decenas de millones de usuarios para minar la criptomoneda Monero.

El domingo 3 de diciembre, observamos un pico en una de nuestras detecciones, JS: Miner-I, que bloquea un minero de criptomoneda que utiliza el algoritmo criptonight para extraer Monero, una popular criptomoneda. El algoritmo es adecuado para usar el CPU del PC para minería, ejecutándose con JavaScript. Bloqueamos el lanzamiento de JS: Miner-I en las PC de nuestros usuarios, evitando 34.7 millones de ataques en solo un día. El pico no fue lo único que llamó nuestra atención; todas las detecciones se iniciaron en el navegador Chrome de Google.

Las criptomonedas están en alza y junto con el aumento de la popularidad, ha surgido un aumento en su actividad minera. Cryptomining determina, en parte, el valor de la moneda, sin embargo, la minería puede ser costosa, ya que requiere grandes cantidades de potencia de procesamiento, que se puede lograr a través de grandes granjas de servidores. La construcción y el mantenimiento de la infraestructura, y el acceso a la electricidad necesaria para ejecutar estas granjas, requiere una enorme inversión financiera. Para ahorrar en costos, los ciberdelincuentes recurren al uso de la potencia de tu PC (e incluso de tu teléfono inteligente) para extraer, y en muchos casos, sin solicitar tu permiso.

En términos del ataque cryptomining del domingo, sospechamos que el código Javascript se inyectó en una extensión de Google Chrome, ya que los archivos bloqueados como JS: Miner-I estaban en blob_storage de Chrome, que es una carpeta utilizada por extensiones y complementos para almacenar datos. Aunque no podemos afirmarlo con certeza, creemos que dos cosas podrían haber sucedido: o bien se trata de una campaña maliciosa que se extendió efectivamente, o una extensión popular que se modificó para incluir el minero.

Casi 35 millones representan un gran aumento, en comparación con la cantidad de veces que bloqueamos este minero para evitar que infectara las computadoras de nuestros usuarios en los días previos, como se puede ver en el cuadro a continuación.

December_3_spike_Avast.png

¿Por qué Monero?

Hemos observado varios tipos de malware criptogénico este año, incluido Adylkuzz, que alcanzó su punto máximo en mayo, y el malware cryptomining que se dirigió a los usuarios de dispositivos móviles el mes pasado. Estos ejemplos y el minero que alcanzó su punto máximo el domingo tienen una cosa en común: extraen la criptomoneda Monero. Entonces, la pregunta es, ¿por qué todos ellos extraen Monero y no Bitcoin o cualquier otra criptomoneda?

Una razón podría ser que Monero mantiene las transacciones privadas, lo que también es útil para los ciberdelincuentes si quieren ocultar sus actividades. Monero utiliza tres tecnologías de privacidad diferentes para ocultar el remitente, la cantidad que se envía y el destinatario, ocultando los detalles de la transacción. Por lo tanto, Monero se ha vuelto muy popular en general, y su valor ha aumentado de menos de $ 2 a más de $ 200 , que es probablemente otra razón por la cual Monero es la moneda elegida por los ciberdelincuentes. Aunque BitCoin se usa ampliamente, no mantiene las transacciones privadas y es más difícil de extraer en comparación con Monero , que se puede extraer de manera razonable utilizando la potencia de CPU de los navegadores.

Cómo saber si tu navegador está extrayendo en secreto y qué puedes hacer al respecto

Los productos antivirus de Avast detectan estos mineros incrustados. Además, hay otras estrategias que puedes emplear para ver si tu buscador está extrayendo:

  • Comprueba qué scripts ha cargado tu navegador. Si estás registrando una carga significativa de CPU, pero sin embargo solo hay una pestaña en tu navegador y no estás ejecutando nada que deba poner una carga significativa en tu CPU, entonces es probable que estés siendo utilizado para extraer criptomonedas.
  • Si descubres que un sitio que visitas se dedica a minar y utilizas un bloqueador de anuncios que te permite agregar URL adicionales a su lista de "bloqueos", agrega este sitio web a tu lista.
  • Busca en Chrome Web Store, o similar, "bloqueadores de mineros" y observa qué aparece. Los desarrolladores ya han creado formas de detectar automáticamente la minería y evitar que se produzca.