¿Qué es el malware de minería de criptomonedas?

Antes de entrar en los detalles del “malware de minería de criptomonedas”, primero debemos comprender qué es la criptomoneda y qué son los mineros.

¿Qué es la criptomoneda?

La criptomoneda se considera mejor como moneda digital y solo existe en las computadoras. Se transfiere entre pares (no hay intermediarios como un banco). Luego, las transacciones se registran en un libro de contabilidad público digital llamado “blockchain”.

Los datos de la transacción y el libro mayor se cifran mediante criptografía (por eso se denomina “moneda” “cripto”).

Características principales de la criptomoneda

Analicemos cómo funciona la criptomoneda.

Descentralizado y distribuido

Las criptomonedas a están descentralizadas y distribuidas. Ni una sola entidad puede cambiar ninguna transacción porque la cadena de bloques se almacena en múltiples computadoras independientes y los algoritmos aseguran que los registros no sean manipulados.

Cuando se realiza una transacción de criptomonedas, esa transacción se distribuye a todos los usuarios que alojan una copia de la cadena de bloques.

Mineros de criptomonedas

Tipos específicos de usuarios, llamados mineros, intentan resolver un rompecabezas criptográfico (usando software). Esto les permite agregar un “bloque” de transacciones al libro mayor. Los mineros agregan estos “bloques” de transacciones de forma secuencial.

Quien resuelva el rompecabezas primero obtendrá algunas monedas “recién extraídas” como recompensa. También reciben tarifas de transacción pagadas por quienes crearon las transacciones.

A veces, los mineros combinan la potencia informática y comparten las nuevas monedas. El algoritmo se basa en el consenso. Si la mayoría de los usuarios que intentan resolver el rompecabezas envían los mismos datos de transacción, entonces se confirma que las transacciones son correctas. Además, la seguridad de la cadena de bloques se basa en la criptografía.

Las personas que ejecutan software y hardware destinados a confirmar transacciones en el libro mayor digital se denominan mineros de criptomonedas .

Resolver acertijos criptográficos (a través de software) para agregar transacciones al libro mayor (la cadena de bloques) con la esperanza de obtener monedas como recompensa se llama minería de criptomonedas.

¿Las criptomonedas cambian las reglas del juego?

Algunos políticos quieren que vivamos en una sociedad basada en permisos, donde tienes que llegar al gobierno, pedir su bendición antes de que puedas empezar a pensar siquiera en innovar. Esos son los políticos que prefieren matarlo antes de que crezca. Sin embargo, hay otros que creen en la vitalidad del ingenio y la innovación.

Algunos creen que las criptomonedas son parte del futuro. Según Patrick McHenry, EE. UU. Representante del décimo distrito del Congreso de Carolina del Norte:

“La realidad es que el cambio está aquí. Existen monedas digitales. La tecnología Blockchain es real. El mundo que Satoshi Nakamoto, autor del documento técnico de Bitcoin, imaginó (y otros están construyendo), es una fuerza imparable “.

Otros, no creen que la criptomoneda sea una opción viable. Donald Trump, presidente de Estados Unidos, (@realDonaldTrump) tuiteó sobre las criptomonedas:

No soy fanático de Bitcoin y otras Criptomonedas, que no son dinero y cuyo valor es muy volátil y se basa en la nada. Los criptoactivos no regulados pueden facilitar el comportamiento ilegal, incluido el tráfico de drogas y otras actividades ilegales …

– Donald J. Trump (@realDonaldTrump) 12 de julio de 2019

Ahora que tenemos un conocimiento básico de las criptomonedas, la minería de criptomonedas y lo disruptivas que son las criptomonedas, profundicemos en el meollo del malware de minería de criptomonedas.

El malware de minería de criptomonedas suele ser un malware muy sigiloso que recolecta los recursos de un sistema (computadoras, teléfonos inteligentes y otros dispositivos electrónicos conectados a Internet) para generar ingresos para los ciberdelincuentes que lo controlan.

Este tipo de malware extrae criptomonedas en su sistema usando sus recursos de una manera que usted no sabría.

Minería de criptomonedas basada en navegador

Los ciberdelincuentes han recurrido a la minería de criptomonedas basada en navegador para ayudarlos a generar ingresos de la minería.

La minería de criptomonedas basada en navegador se ha utilizado desde 2011, pero solo recientemente se ha convertido en un problema generalizado. Sucedió debido al crecimiento explosivo de las criptomonedas, así como al lanzamiento en 2017 de nuevos servicios de minería de criptomonedas basados ​​en navegador como CoinHive y Crypto-Loot.

Cryptominer a nivel de servidor binario

A diferencia de los criptomineros JavaScript basados ​​en navegador que se han inyectado en una página web, un criptominero binario a nivel de servidor abusa de los recursos del servidor sin afectar las computadoras o dispositivos móviles de los visitantes del sitio web. Los servidores suelen ser más potentes que los dispositivos de los usuarios, por lo que pueden extraer monedas más rápido.

Usan en secreto el poder de los sistemas infectados para extraer criptomonedas, que se envían a la billetera de criptomonedas del ciberdelincuente. Cuantos más sistemas estén infectados, más beneficios ilícitos pueden obtener los ciberdelincuentes.

Software de minería de criptomonedas

Existe una gran cantidad de software de minería de criptomonedas, uno de los más populares fue Coinhive.

Coinhive es un servicio de software que incluye todas las herramientas necesarias para permitir fácilmente a los propietarios de sitios web la creación de scripts sigilosos. Obliga a los visitantes a minar criptomonedas mientras visitan su sitio, en la mayoría de los casos sin ninguna indicación para el visitante. Cuando este software se utiliza para extraer criptomonedas utilizando el host del sitio web o los recursos del sistema del visitante sin su consentimiento, se considera otra forma de malware de minería de criptomonedas

Nota : Coinhive se cerró en marzo de 2019 y ya no está disponible.

El precio de las criptomonedas y las infecciones de malware

A medida que aumentaba el precio de Monero (la criptomoneda que más extrae JavaScript) y otras criptomonedas, Sucuri vio una afluencia en la cantidad de ciberdelincuentes que buscaban oportunidades para monetizar su creciente popularidad.

El precio de Monero subió en 2017 y alcanzó su punto máximo en diciembre. Solo en ese año, nuestro equipo de investigación identificó más de 7,000 sitios web comprometidos por malos actores para minar criptomonedas.

Luego, el precio de la criptomoneda disminuyó significativamente, que es una de las razones por las que este tipo de malware ya no es tan popular.

¿Cuál es la diferencia entre el software de minería de criptomonedas y el software malicioso?

Después de que Coinhive lanzara su primer servicio de minería, permitió a los propietarios de sitios web instalar mineros de monedas utilizando un simple fragmento de JavaScript. El código funcionaba en segundo plano en los navegadores de los visitantes del sitio web, utilizando el exceso de potencia de la CPU.

Estos criptomineros sirvieron como un método alternativo de monetización, pero los piratas informáticos abusaron casi de inmediato del código una vez que lo instalaron en sitios web comprometidos.

El malware utilizado en estas infecciones de criptomineros se modificó inteligentemente para que sea más difícil para los webmasters identificar y limpiar. Los ataques a menudo extraen cargas útiles de un servidor remoto, lo que facilita que los atacantes modifiquen rápidamente el contenido inyectado en sitios web comprometidos.

¿Cuáles son algunos de los métodos de infección de malware de minería de criptomonedas?

Al igual que cualquier software malicioso, el malware de minería de criptomonedas puede presentarse de muchas formas. Puede infectar el dispositivo de un usuario a través de varios medios, como hacer clic en un enlace malicioso, visitar un sitio web comprometido, descargar una aplicación infectada, descargar un archivo malicioso o instalar una extensión de navegador web infectada. Algunos se propagan e infectan a otros sistemas en la misma red.

Básicamente, los criptomineros son diferentes solo en la forma en que afectan a los visitantes del sitio web. Desde el punto de vista de los webmasters, no es diferente de cualquier otro software malicioso. Entonces todas las técnicas genéricas son válidas.

En el navegador de criptominería, el malware ha disminuido durante el último año. En este momento, no estamos viendo nuevas infecciones significativas. Sin embargo, todavía hay algunos criptomineros binarios del lado del servidor en curso.

¿Cómo se evita que un sistema o sitio web sea infectado por software malicioso de minería de criptomonedas?

Es importante ser proactivo y tomar medidas para ayudar a reducir el riesgo de infección. Si bien nadie puede prometer que el riesgo alguna vez será cero, hay muchas cosas que puede hacer para proteger su sistema y / o su sitio web.

Supervise su sitio web

La prevención básicamente se presenta en forma de “monitoreo constante”. Si su sistema o sitio web comienza a sentirse lento o lento, es posible que uno o ambos estén infectados. Eche un vistazo rápido al uso de recursos de su sistema mientras navega por su sitio web.

Verifique si su uso de CPU es alto cuando navega por su sitio monitoreado. Esta prueba solo es válida si no hay otros sitios abiertos, ya que también podrían contribuir al uso de la CPU.

Es importante ejecutar un análisis de virus en su sistema. La mayoría de los programas antivirus son bastante buenos para detectar este tipo de malware.

Hemos escrito un artículo para explicar cómo detectar y eliminar el malware de minería de criptomonedas de su servidor web.

Nuestro equipo de respuesta a incidentes se ocupa de todo tipo de infecciones de sitios web. No es necesario realizar cambios en la instalación o la aplicación. El equipo agrega y configura todos los sitios a través del panel de Sucuri. Para habilitar el escaneo del lado del servidor, se requiere un agente PHP en la raíz del dominio principal.

Publicado originalmente en https://blog.sucuri.net el 2 de septiembre de 2019.