Investigadores de seguridad de Qihoo 360 Total Security han detectado una campaña masiva de minado de criptomonedas que ya lleva al rededor de 500.000 victimas en todo el globo en tan solo 3 días.
El malware se llama WinstarNssmMiner, y tiene como objetivo realizar minado en equipos Windows. Este realiza el minado de la criptomoneda Monero, mediante la utilidad XMRig.
Proceso de Infección
Cuando se inicia el proceso de infección, el malware realizar un scan de los procesos que están activos en el sistema, si este detecta que están los procesos de los Antivirus Avast o Kaspersky, este abandona el proceso de infección. Si el malware detecta que no existen tales antivirus en el sistema, este lanza dos procesos de svchost.exe, siendo uno de ellos el que realiza el criptominado. Si detecta que existen otros procesos de Antivirus, el malware intentará cerrarlos, para evitar la detección.
Eliminación
El malware realiza un proceso de persistencia bastante desagradable. Cuando el malware detecta que alguien está cerrando el proceso svchost.exe, que está asociado a la utilidad XMRig, este gatillará un crash en el sistema. Este proceso de Crash se realiza al indicarle a Windows que el proceso en cuestión es crítico para el sistema, provocando automáticamente un reinicio del equipo.
Los atacantes hasta ahora se han hecho de mas de 133 Moneros, lo que se traducen en unos 28.000 dolares.
Campañas mas Amigables!
WinstarNssmMiner no es la única campaña que esta en alza, sino que otra que se llama idleBuddyMiner, la cual a diferencia del anterior, solicita tu autorización para minar criptomonedas mediante un PoPUp.
