Saltar al contenido
Criptogen – Sitio web educativo sobre criptomonedas y blockchain

Hackers utilizan falsas actualizaciones de Flash para hacer cryptojacking

octubre 13, 2018
Hackers utilizan falsas actualizaciones de Flash para hacer cryptojacking 1

Hace poco se acaba de descubrir que están utilizando actualizaciones fake de Adobe Flash para instalar cryptojacking. Esto es minería oculta en ordenadores y móviles.

Lo que ya está ocasionando perdida de rendimiento, consumo cuantioso de energía y perdida notable de tiempo.

Y es que si algo caracteriza la minería es que rebasa mas de un 90 % del recurso del sistema.

 

El Cryptojacking: disruptivo entre los hackers

Cuando entramos una web de por ejemplo warez (descargas de series o peliculas, libros gratis u otro web del estilo) la mayoría de los popups y publicidad invasiva es de ‘programas’ que te piden que instales al momento. Estas ‘aplicaciones’ generalmente son malware. Y el mas conocido por todos en la actualidad es el que estamos comentando. El cryptojacking.

Normalmente captamos al momento cuando nos empujan a instalarnos una aplicación falsa como una actualización de adobe flash.

Aunque hay veces la suplantación de un aviso de actualización puede ser tan buena y que ni nos demos cuenta y no nos enteramos.

Hackers utilizan falsas actualizaciones de Flash para hacer cryptojacking 2
Ejemplo de ventana emergente para instalar Adobe Flash falso. Malware

Uno de los analistas de seguridad informática de Unit 42, B. Duncan, escribió hace poco sobre el tema:

 

“Ya en agosto de 2018, algunos ejemplos de suplantación de actualizaciones de Flash han recibido notificaciones emergentes del instalador oficial de Adobe. Estas falsas actualizaciones de Flash instalan programas no deseados de mineria de criptomonedas: XMRig, pero este malware también puede actualizar el Flash Player de una víctima a la última versión para parecer que es una actualziación”.

 

Lo que supone esta situación es algo no deseable.  Porque cualquiera puede no notar nada, mientras el hacker /minero del malware XMRig (Scrypt que mina la criptomoneda Monero) u otro malware puede estar ejecutándose sin darse cuenta.

Estos ‘virus’ hace que el dispositivo trabaje más de lo normal, puesto que el procesador tiene que procesar las aplicaciones que usuario abre mientras hace calculos de minería, que conlleva un trabajo enorme . Además se sabe que este malware además, puede dañar su disco duro y extraer datos y transmitirlos a otras páginas. Como por ejemplo las credenciales de un intercambio de criptomonedas o su clave privada de su wallet de Etherwallet.

(Ha notado cierta lentitud de su Smartphone u ordenador? Quizás ya se esté ejecutando un malware de minería. Y alguien este usando su dispositivo para ganar dinero)

Detalles del malware Adobe Cryptojacking

¿Como se llega a este malware? 

 

El Sr. Duncan dice que no tiene tan claro la forma de proceder de la víctima. Aunque la mayoría del tráfico relacionado con la infección proviene de esas actualizaciones falsas de flash. Al parecer este programa que la victima se instala inconscientemente, hace una petición de a una web: osdsoft.com, donde aloja en su servidor el malware y lo descarga al dispositivo de su victima.

Este dominio está relacionado a otros dominios, que no solo ofrecer actualizaciones flash falsas, sino también otras. Como aplicaciones de google, actualizaciones de Windows, de Opera….

Si analizamos este dominio con alienvault.com, enseguida esta web ya nos etiqueta la web como:

A Crypto Mining Operation Unmasked

Y nos sale una larga lista de dominios relacionados a este. Que suponemos hacen peticiones a este servidor.

Hackers utilizan falsas actualizaciones de Flash para hacer cryptojacking 3

 

Tambien podemos ver una lista de ejecutables que osdsoft aloja en su servidor:

Hackers utilizan falsas actualizaciones de Flash para hacer cryptojacking 4

Por lo que vemos este servidor no solo se limita a alojar malware con el nombre de ‘Adobe Flash’ sino también a otras aplicaciones. Como las actualizaciones de windows.

 

La mayoría de las veces, al victima llega por la publicidad CPA que le suministra la web a la que entra.  Esta publicidad es invasiva, nosotros no optamos por clicar o visitarla. Aparece sin mas.

Aunque también hay páginas a las que el usuario puede llegar desde Google.

Duncan explica que el equipo testeo este problema buscando ciertas actualizaciones de Flash. Siempre buscaban por dominios que no provinieran de la pagina oficial de Adobe. El equipo de Unit 42 encontró mas de 113 ejemplos que seguían un criterio especifico. Todos llevaban en la url la siguiente cadena: “flashplayer_down.php?clickid=” Solo 77 malwares que analizadas se identificaban como CoinMiner. Las restantes mostraban etiquetas relacionadas con CoinMiner.

Como evitar estos malware

Desde Criptogen solo podemos animar a lso usuarios a ser más cuidadosos con las webs que visitan. A investigar, identificar y evitar en lo posible no descargar aplicaciones que no provengan de su web oficial. La mayoría de esas aplicaciones ya comentamos que surgen de publicidad invasiva (popups y ventanas emergentes).

Tener siempre un antivirus fiable con una base de datos actualizada también hará que nuestro dispositivo sea más seguro.

En palabras de B. Duncan:

“Las organizaciones con un filtrado web decente y usuarios educados tienen un riesgo mucho menor de infección por estas actualizaciones falsas.”

 

Ya informamos recientemente que el cryptojacking estaba aumentando mas de un 85 % en la mitad de este año. Y cada vez aumentan más puesto que la rentabildiad del ataque es excelente.

 

Hackers utilizan falsas actualizaciones de Flash para hacer cryptojacking 5