Hipertextual
Junto con la fiebre de las criptomonedas, ha ido en auge el minado clandestino por parte de piratas informáticos. La firma de ciberseguridad Trend Micro ha alertado de un nuevo tipo de malware que es usado para minar Monero. Bautizado como Digmine, opera como un enlace a un archivo de vídeo que es enviado mediante Facebook Messenger, pero que en realidad es un script autoejecutable que secuestra la versión web y de escritorio del servicio de mensajería instantánea de la red social más usada en el mundo a través del navegador Google Chrome.
El malware Digmine está diseñado para saltarse los controles de la Chrome Web Store, pues su funcionamiento está basado en la conexión a un servidor de comando y control (C&C), lo que le permite descargar distintos componentes. Uno de ellos es la extensión maliciosa en el navegador Chrome que se inicia junto a la aplicación de Messenger, la cual conduce a la víctima a una web falsa que muestra el vídeo que forma parte del engaño. Si la persona tiene configurada su cuenta de Facebook para iniciar sesión de forma automática, Digmine manipula Messenger para enviar un mensaje a todos los contactos del titular de la cuenta con un texto que sugiere abrir el archivo del vídeo señuelo.
A través de otro servidor C&C, también descarga una versión editada del minero de Monero de código abierto de esta criptodivisa XMRig, la cual se dedica a minar en segundo plano para los hackers. Es notable cuando un ordenador ha sido afectado debido al consumo anómalo de recursos del equipo. Digmine solo funciona a través de la versión de escritorio de Messenger en Google Chrome, ya que si es abierto desde la app en un teléfono móvil, no funciona como debería.
“Digmine también realizará otras rutinas, como la instalación de un mecanismo de inicio automático de registro y un marcador de infección del sistema. Buscará e iniciará Chrome y luego cargará una extensión de navegador maliciosa que recupera del servidor de C&C. Si Chrome ya se está ejecutando, el malware terminará y volverá a iniciar Chrome para garantizar que la extensión se cargue. Si bien las extensiones solo se pueden cargar y hospedar desde Chrome Web Store, los atacantes omiten esto al iniciar Chrome.
