Se descubrió que la instalación de malware que se propaga a través de sitios de software gratuito se activó después de un retraso de un mes, lo que finalmente ayudó a evitar la exposición.
Según lo informado por Bleeping Computer, la campaña de malware se camufla como Google Translate o programas de descarga de MP3. En realidad, sin embargo, funciona como malware de minería de criptomonedas para sistemas basados en Windows.
Descubiertos en 11 países hasta el momento, los programas falsos se esconden a plena vista dentro de los sitios de software libre. Un informe de Check Point detalla cómo un desarrollador, que se hace llamar Nitrokod, está detrás del malware.
Aunque parecen ser legítimos, Check Point confirmó cómo las aplicaciones retrasarían la instalación del malware durante casi un mes. A partir de aquí, la cadena de infección «continuó después de un largo retraso utilizando un mecanismo de tareas programadas», lo que permitió a los actores de amenazas tiempo suficiente para deshacerse de cualquier evidencia.
Después de que una víctima inicia cualquiera de los programas infectados, se instala una aplicación legítima de Google Translate en el sistema. Luego, la aplicación puede borrar todos los registros del sistema a través de los comandos de PowerShell, además de implementar una regla de firewall y excluirse de ser detectada por Windows Defender.
Una vez que pasan varias semanas, el malware se carga, luego de lo cual se conecta a un servidor C&C para recibir una configuración para el criptominero XMRig. Esto permite que los archivos maliciosos de la aplicación comiencen la actividad de minería en la PC del objetivo.
Los sitios de software libre son un término de búsqueda extremadamente popular para Google, y las aplicaciones falsas de Nitrokod ocupan un lugar destacado en los resultados de búsqueda. Uno de esos sitios web, Softpedia, entregó más de 112,000 descargas para la aplicación Google Translate del desarrollador.
Como señaló Bleeping Computer, el malware de criptominería puede someter a un sistema a mucho estrés debido al impacto que tiene en el hardware, además de provocar naturalmente un sobrecalentamiento. El rendimiento general de una máquina también puede verse afectado negativamente si utiliza recursos de CPU adicionales.
Con respecto al malware malicioso que se activa, este se puede cambiar a un código potencialmente más peligroso si el autor de la amenaza decide hacerlo.
Cabe destacar que siempre debe comprobar que está descargando programas de fuentes oficiales y estar atento a cualquier desarrollador sospechoso, incluso si su versión ha sido descargada por cientos de miles.
Recomendaciones de los editores