El equipo de investigación de Microsoft Defender ATP compartió información acerca de una nueva variante de malware que roba criptomonedas, el cual ya ha infectado cerca de 80.000 computadoras.
El 26 de noviembre, los analistas de seguridad de Microsoft revelaron que el malware, llamado Dexphot, ya había infectado cerca de 80.000 dispositivos desde octubre de 2018, llegando a su punto máximo en el mes de junio de este año.
Actividad nefasta disfrazada
Según los informes, el código malicioso secuestra los procesos legítimos del sistema para disfrazar su actividad nefasta, con el objetivo final de ejecutar un minero de criptomonedas en el dispositivo infectado. Cuando los usuarios infectados intentan eliminar el malware, los servicios de monitoreo y las tareas programadas desencadenarán la reinfección. El informe dice:
“Dexphot no es el tipo de ataque que genera la atención de los medios convencionales; es una de las innumerables campañas de malware que están activas en un momento dado. Su objetivo es muy común en los círculos cibercriminales: instalar un minero de monedas que silenciosamente roba recursos informáticos y genera ingresos para los atacantes “.
El malware Dexphot es similar en muchos aspectos al código malicioso recientemente descubierto en los archivos de audio WAV. Este tipo de campañas de malware permite a los piratas informáticos implementar mineros de CPU en el dispositivo de la víctima, robando recursos de procesamiento y generando miles de dólares al mes de la minería de criptomonedas.
Este tipo de cargas de malware son cada vez más populares entre los piratas informáticos, ya que proporcionan un beneficio financiero mientras operan en segundo plano sin el conocimiento del usuario, un ataque comúnmente llamado cryptojacking.
El malware roba Bitcoin a los usuarios de darknet
En octubre, el principal proveedor de software antivirus ESET descubrió un navegador Tor troyanizado diseñado para robar Bitcoin (BTC) de los compradores en la red oscura. El falso Navegador Tor estaba dirigido a usuarios en Rusia, donde desde 2017 ha estado robando criptomonedas de los compradores de darknet al intercambiar sus direcciones de cifrado ingresadas.