Los investigadores de Kaspersky han identificado un esquema de fraude en el que se distribuía software extractor de criptomonedas y se instalaba en secreto en las PCs de los usuarios mediante software pirata que comúnmente se utiliza para trabajo y entretenimiento (como editores de fotos y de texto). Las computadoras eran infectadas para crear criptomonedas, y dirigían todas las ganancias a los delincuentes implicados.

A medida que el mercado de las criptomonedas sigue emergiendo con enormes aumentos en el número y valor de las inversiones, más delincuentes también siguen de cerca su desarrollo. Este interés en aumento es muy conveniente para los ciberdelincuentes, pues hace más fácil engañar a los usuarios que no son expertos en TI.

Por ejemplo, los mineros o miners de criptomonedas se convirtieron en una de las principales tendencias en 2017, según el Boletín de seguridad anual de Kaspersky. Esta tendencia fue pronosticada el año pasado por los investigadores de Kaspersky Lab, quienes descubrieron un regreso del software de minería en medio de la creciente popularidad de Zcash. Solo un año después, los programas mineros están en todas partes. Los delincuentes utilizan diferentes herramientas y técnicas, como campañas de ingeniería social o la explotación de software infectado, para afectar a la mayor cantidad posible de PCs.

Como ejemplo del método de fraude más reciente, los expertos de Kaspersky Lab recientemente han descubierto una serie de sitios web similares que ofrecen formas en que los usuarios pueden bajar software pirata de manera gratuita, incluidos programas y aplicaciones populares para las computadoras. Para aumentar la confianza, los delincuentes han estado usando nombres de dominio similares a los reales. Después de bajar una pieza de software, el usuario recibe un archivo que también contiene un programa minero. Entonces este se instala automáticamente junto con el software deseado.

El archivo de instalación incluye archivos de texto que contienen información de inicialización, como direcciones de la billetera y del pool de minería. Un pool de minería es un servidor que reúne a varios participantes y distribuye la tarea de extracción entre sus computadoras. A cambio, los participantes reciben su parte de la criptomoneda que se está extrayendo mucho más rápido de lo que lo harían si extraen a través de su propia PC. Debido a las particularidades arquitectónicas, la extracción de bitcoins y otras criptomonedas es actualmente una operación que requiere mucho tiempo y recursos, por lo que estos pools aumentan significativamente la productividad y velocidad en la generación de criptomonedas.

Después de ser instalados, los mineros comienzan a operar silenciosamente en la PC de la víctima, generando criptomonedas para los criminales. De acuerdo con la investigación de Kaspersky Lab, en todos los casos utilizaron el software del proyecto NiceHash, que recientemente sufrió una grave violación de seguridad cibernética que resultó en el robo de millones de dólares en criptomonedas. Algunas de las víctimas estaban conectadas a un grupo extractor del mismo nombre.

Además, los expertos descubrieron que algunos miners tenían una función especial que permitía al usuario cambiar remotamente un número de billetera, pool o miner. Esto significa que los delincuentes podrían establecer otro destino para la criptomoneda en cualquier momento y así administrar sus ganancias distribuyendo la circulación de las extracciones entre billeteras, o incluso hacer que la computadora de la víctima trabaje para otro pool de minería.

“Aunque no se considera malicioso, el software de minería reduce el rendimiento del sistema, lo que inevitablemente afecta la experiencia del usuario en general. También aumenta el consumo de electricidad de la víctima, lo cual no es tan grave pero sigue siendo desagradable”, dijo Alexander Kolesnikov, analista de malware en Kaspersky Lab. “Por supuesto, algunas personas estarían dispuestas a aceptar que alguien se estuviera haciendo más rico de manera anónima a costa suya, pero aconsejamos a los usuarios que se resistan a estos intentos, ya que aunque no se esté realizando con un software malicioso normal, sigue siendo una actividad fraudulenta”.