Los minadores de criptomonedas se han convertido en la nueva norma en el mundo del malware, y las nuevas versiones se están haciendo más complejas, logrando esconder sus procesos para evitar detecciones.
En este ramo, la compañía de seguridad Trend Micro ha descubierto recientemente un nuevo tipo de virus minador que no solo tiene como propósito ejecutarse sin que los usuarios lo sepan, si no también remover otro malware y minadores que comprometan el sistema.
En un análisis a fondo de este script, la compañía explico que usa código de KORKERDS y depende de crontabs para lanzarse después de un reinicio.
El script que usa el malware descarga una versión modificada de XMR-Stax, un minador de criptomonedas que se centra específicamente en Cryptonight, un tipo de algoritmo que puede usar casi cualquier procesador, además de cualquier tarjeta de video NVIDIA o AMD.
Usando todos los recursos disponibles
Trend Micro explica que el virus ataca a los sistemas a través de cámaras IP y servicios web en el puerto TCP 8161, que el atacante usa para enviar un archivo crontab con el propósito de descargar un script de Shell.
Una vez que el script llega al dispositivo objetivo, remueve todos los malwares, minadores y servicios asociados con estos, con el fin de usar todos los recursos para sus propias tareas de minado. Quitando todos los minadores y formas de malware, el script se asegura que los recursos de las computadoras estén siempre disponibles para todos los procesos.
Como siempre, la recomendación es mantener el sistema actualizado y hacer un seguimiento de los procesos para mantener protegido contra los minadores de criptomonedas, porque siempre que existe uno el dispositivo tiene un rendimiento reducido notable.