Trend Micro recientemente descubrió que los hackers reutilizaron el ransomware XiaoBa para llevar un script de minería de criptomonedas. Por lo general, XiaoBa infecta una PC, encripta sus archivos y los mantiene como rehenes hasta que la víctima entrega un pago a los piratas informáticos. Pero en este caso, la nueva modalidad inyecta el script de minería de Coinhive en archivos HTM y HTML utilizados por la PC infectada.
Coinhive es un componente basado en JavaScript que se instala en páginas web. Utiliza el procesador de un PC visitante para extraer monedas digitales tras bastidores, impactando de manera notable el rendimiento de las computadoras durante el proceso.
La extracción finaliza una vez que se abandona la página infestada de Coinhive, lo que hace que el rendimiento de su procesador vuelva a la normalidad. Coinhive también puede residir oculto en las extensiones del navegador, lo que hace imposible escapar del proceso agotador mientras el navegador permanece abierto.
La nueva variante de XiaoBa parece tener un componente tipo gusano, lo que significa que podría propagarse de una PC a otra conectada a una red local, lo que aumentaría las ganancias financieras de los hackers. Pero ese no es el peor de los casos: esta variante también es altamente destructiva. El código revisado infecta archivos binarios legítimos (exe, com, scr, pif) para entregar el script, pero destruye estos archivos en el proceso.
“El malware se antepondrá a cualquier archivo con la extensión anterior”, asegura la firma de seguridad. “Ese es el único criterio comprobado antes de la infección, a diferencia de otro malware que normalmente busca ciertas condiciones o marcadores antes de infectar el archivo. También atraviesa todos los directorios. No evitará archivos críticos del sistema y puede volver el sistema críticamente inestable si no se trata adecuadamente“.
Trend Micro dice que el malware infecta archivos de todos los tamaños y no deja ningún marcador en el archivo infectado, lo que permite múltiples infecciones, 10 como se muestra en un ejemplo, en una sola PC. Por lo tanto, no sólo el procesador está atascado desde el punto de vista de la minería, sino que las infecciones “apiladas” consumen grandes cantidades de memoria y también una gran cantidad de espacio en el disco.
Actualmente, Trend Micro sólo conoce dos versiones de la variante XiaoBa, que llevan consigo el código de Coinhive. Ambas deshabilitarán las notificaciones de Control de Cuentas de Usuario de Windows, mientras que una de ellas también borrará imágenes de Norton Ghost, imágenes de disco (ISO) y bloqueará el acceso a sitios web relacionados con antivirus.
Presumiblemente, ambos inyectan la secuencia de comandos Coinhive en páginas web a medida que se descargan y almacenan localmente en el caché del dispositivo de almacenamiento de la PC.
Lo que no está claro es cómo las PC obtienen las variantes de XiaoBa en primer lugar. El malware normalmente se propaga a través de estafas de correo electrónico y redes sociales, lo que obliga a las víctimas a hacer clic en un enlace que descarga el archivo malicioso. Al parecer, según Trend Micro, una de las dos variantes se propaga mediante el uso de unidades extraíbles, como los dispositivos de almacenamiento basados en USB.
La amenaza XiaoBa fue reportada por primera vez a finales de 2017 por el MalwareHunter Team. Una vez que aterriza en una PC, se disfraza de archivo de sistema, desactiva el firewall y bloquea los sitios web relacionados con la seguridad.
También modifica el registro de la PC y permite que otros virus infecten el sistema. Eso, sin mencionar el aspecto ransomware, que encripta los archivos hasta que las víctimas paguen un rescate por recuperarlos.
