Una nueva campaña de 'cryptojacking' explota una vulnerabilidad de OneDrive
Si bien actualmente el proceso solo está involucrado en el cryptojacking, explota la carga lateral de DLL, que se puede usar para implementar spyware o ransomware.
El cryptojacking se está convirtiendo en una pesadilla para la seguridad de consumidores y empresas. Los ciberdelincuentes utilizan una amplia variedad de técnicas para instalar cryptojackers en los equipos de las víctimas y, en un nuevo desarrollo, el fabricante de seguridad Bitdefender ha detectado una campaña que se vale de una vulnerabilidad de Microsoft OneDrive para ganar persistencia y ejecutarse sin ser detectada.
La empresa ha detectado a unos 700 usuarios afectados entre el 1 de mayo y el 1 de julio. La campaña utiliza cuatro algoritmos de minería de criptomonedas: Ethash, Etchash, Ton y XMR, lo que genera una media de 13 dólares en divisas digitales por ordenador afectado.
La campaña de explota una brecha de carga lateral
El cryptojacking se define como el uso no autorizado de la infraestructura informática para extraer criptomonedas. Se descubrió que los atacantes de esta campaña estaban usando una vulnerabilidad de carga lateral de DLL conocida en OneDrive al escribir un archivo secur32.dll falso. Una vez cargado en uno de los procesos de OneDrive, el falso secur32.dll descarga el software de minería de código abierto y lo inyecta en los procesos legítimos de Windows.
La instalación de prueba es esencialmente la instalación de código que no ha sido aprobado para ejecutarse en un dispositivo por parte del desarrollador del sistema operativo de la máquina. Los archivos DLL son una colección de pequeños programas que contienen instrucciones que pueden ayudar a otro más grande a completar tareas no básicas del programa original.
Si bien esta campaña solo está involucrada en el cryptojacking, la carga lateral de DLL también se puede usar para implementar spyware o ransomware. Además, dado que la minería requiere muchos recursos, las víctimas pueden notar inmediatamente un rendimiento degradado de la CPU y la GPU, sobrecalentamiento y un mayor consumo de energía, lo que puede desgastar el hardware.
De forma predeterminada, OneDrive está programado para reiniciarse todos los días, y se descubrió que los ciberdelincuentes detrás de la nueva campaña configuraron el proceso OneDrive.exe para ejecutarse después de reiniciar, incluso si el usuario lo deshabilita. Usando este método, los atacantes ganan persistencia. En el 95,5% de las detecciones, el reinicio programado estaba cargando el archivo malicioso secur32.dll.
“OneDrive fue elegido específicamente en este ataque porque permite que el actor logre una fácil persistencia”, señala el informe. Microsoft recomienda a sus clientes que elijan la opción de instalación por máquina en los archivos del programa.
Los casos de cryptojacking están en aumento
Este tipo de ataque aumentó un 30%, hasta llegar a 66,7 millones en la primera mitad de 2022, según datos de SonicWall. El sector financiero fue testigo de un aumento del 269%.
Este crecimiento se puede atribuir al bajo riesgo y la alta recompensa para los ciberdelincuentes, ya que los precios de algunas criptomonedas se han disparado en los últimos años. Este auge también se puede deber a la represión hacia los atacantes de ransomware, que para cumplir sus objetivos necesitan comunicarse con la víctima para exigir un rescate. Pero, en este caso, el actor es discreto y, a menudo, la víctima ni siquiera es consciente del incidente.
