Los ciberataques han ido evolucionando y perfeccionando sus técnicas desde sus inicios, adaptándose a las nuevas tendencias, como es el caso del minado de criptomonedas o el ransomware. Pero el último tipo de software malicioso descubierto es el culmen de la adaptación en sí mismo, una infección a la carta. Investigadores de seguridad de Kaspersky Lab han dado a conocer un nuevo tipo de malware que es capaz de infectar un sistema con cryptojacking (minado de de criptomonedas) o con un ransomware, dependiendo de la configuración que tenga dicho dispositivo y de archivos que haya en él.
Imagina por ejemplo que un software malicioso detecta que si hay muchos archivos en un equipo y potencialmente valiosos, elige desplegar un ataque tipo ransomware porque será más ventajoso y rentable, y más probable que su dueño quiera pagar por recuperar esos archivos. Recordemos el el ransomware es un tipo de malware capaz de cifrar los archivos de un equipo (ordenador, móvil e incluso dispositivos IoT), para solicitar un rescate monetario a cambio de entregar la clave para descifrarlos.
O por otro lado, si detectara que ese equipo infectado tiene mucha potencia, el malware preferiría infectar el equipo para que mine criptomonedas de forma silenciosa para el ciberdelincuente detrás de ese ataque.
Este es más o menos el comportamiento de este nuevo malware, que basa su decisión de descargar y desplegar el ransomware o el minero en función de la presencia de la carpeta %AppData%\Bitcoin. Si esta carpeta existe, entonces se descarga el ransomware. Si no, se descarga el software para minar criptomonedas y se pone manos a la obra.
Una amenaza muy sofisticada que la firma de seguridad rusa asocia con una variante del ransomware Rakhni, al que se le han añadido capacidades de minado de criptomoneda.
Se propaga a través del correo electrónico
Este ataque al parecer se está difundiendo a su vez a través de ataques de phishing, es decir, correos fraudulentos que parecen provenir de una entidad oficial pero que engañan a sus víctimas para que den sus datos, o en este caso, para que descarguen este software malicioso. El documento infectado contiene un icono de PDF, pero en realidad al abrirlo se ejecuta el archivo malicioso en el equipo de la víctima, a la que le aparece un mensaje de error.
Por si fuera poco, los investigadores han detectado también que es capaz de hacer capturas de pantalla del sistema infectado, teniendo funciones incluso de spyware, espiando a sus víctimas.
Por el momento, este nuevo tipo de software malicioso que hace una «auditoría» en los equipos ha actuado sobre todo en Rusia, pero es necesario estar atento a los posibles vectores de ataque de este tipo de amenazas. El phishing, como hemos visto, es uno de los principales. Hay que estar muy atentos cuando se reciben correos que no hemos solicitado, sobre todo cuando estos piden nuestra información personal o tienen archivos adjuntos sospechosos.