Portal falso de MSI Afterburner apunta a jugadores de Windows para minar criptomonedas

Un portal de descarga falso de MSI Afterburner que está dirigido a usuarios avanzados de Windows y jugadores de Windows al infectarlo con mineros de criptomonedas y el malware RedLine que roba información, según un nuevo informe de investigadores de Cyble.

Para empezar, un MSI Afterburner es una función de GPU que permite a los usuarios configurar el overclocking, grabar video, crear perfiles de ventilador y monitorear la utilización de su tarjeta gráfica y CPU instalada.

Bueno, esta función puede ser utilizada por usuarios con casi cualquier gráfica, lo que la hace utilizable para millones de usuarios en todo el mundo que luego modifican sus configuraciones según sus requisitos, es decir, para alcanzar una temperatura más baja, mejorar el rendimiento del juego, y más.

Bueno, todas estas cosas hacen de esta herramienta un buen objetivo para los atacantes que buscan apuntar a usuarios avanzados de Windows o jugadores que utilizan GPUs potentes, que pueden tomar para usarla en la minería de criptomonedas.

Según Cyble, en los últimos tres meses, más de 50 sitios web han aparecido en Internet que imitan el sitio web oficial de MSI Afterburn y empujan mineros de XMR junto con el malware que roba información.

Leer: El grupo AXLocker de ransomware roba las cuentas de Discord de los usuarios infectados

Para agregar a esto, la campaña utilizó nombres de dominio idénticos para engañar a los usuarios haciéndoles creer que son el sitio web legítimo de MSI Afterburn, lo que es más fácil de promover utilizando SEO negro. Estos son algunos de los dominios identificados por Cyble.

• msi-afterburner–download.site
• msi-afterburner-download.site
• msi-afterburner-download.tech.
• msi-afterburner-download.online
• msi-afterburner-download.store
• msi-afterburner-download.ru
• msi-afterburner.download
• mslafterburners.com
• msi-afterburnerr.com

Además, en otros casos, los dominios no usaron la marca MSI y posiblemente fueron promovidos a través de mensajes, publicaciones en redes sociales y foros.

• git.git.skblxin.matrizauto.net
• git.git.git.skblxin.matrizauto.net
• git.git.git.git.skblxin.matrizauto.net
• git.git.git.git.git.skblxin.matrizauto.net

Cuando se ejecuta el archivo de configuración falso de MSI Afterburner (MSIAfterburnerSetup.msi), se instalará el archivo válido. Sin embargo, el instalador silenciosamente dejará caer y ejecutará el malware RedLine que roba información y también el minero de XMR en el dispositivo infectado.

El minero de XMR se instala a través de un ejecutable de Python de 64 bits llamado “browser_assistant.exe” en el directorio de Archivos de Programa Local, que inserta un shell en el proceso creado por el instalador.

El código del shell obtiene el minero de XMR del archivo de GitHub y luego lo inyecta directamente en la memoria del proceso explorer.exe, y dado que los mineros de XMR nunca interactúan con el disco, las posibilidades de que sea detectado por los productos de seguridad son bastante escasas. Después de eso, el minero de XMR se conecta a la piscina de mineros utilizando un nombre de usuario y contraseña codificados y luego proporciona la información básica del sistema al atacante de la amenaza.

Leer: Kit de correo electrónico de phishing dirigido a norteamericanos durante la temporada navideña!

Bueno, una de las funciones que utiliza el minero es el “hilo de CPU maxed” configurado en 20, que excede la mayoría de los hilos de CPU, por lo que se establece para consumir toda la potencia disponible. El minero de XMR comienza a minar solo después de una hora, y dado que la CPU entra en inactividad, esto indica que la PC comprometida no se está utilizando para ninguna tarea que consuma recursos y posiblemente se ha dejado desatendida.

Además, utiliza la función cinit-stealth-targets, que es esencialmente una opción para pausar la minería y limpiar la memoria de la GPU cuando se lanza un programa particular listado bajo los “objetivos furtivos”. Estos podrían ser muy bien los programas que ayudan a la víctima a identificar procesos maliciosos, es decir, antivirus, visor de recursos de hardware, y más.

En este escenario, el minero que intenta ocultarse de las aplicaciones de Windows son taskmanager.exe, procexp.exe, Processhacker.exe, perforn.exe, y procexp64.exe. Al mismo tiempo, el minero de XMR está tomando silenciosamente el control de tus recursos (Monero); el RedLine ya había estado ejecutándose en segundo plano robando datos del navegador, cookies, contraseñas y cualquier posible billetera de criptomonedas que haya.

Lamentablemente, casi todos los componentes de la campaña falsa de MSI Afterburn tienen mala detección por parte del software antivirus, tanto es así que un informe de VirusTotal menciona que el archivo de configuración MSIAfterburnerSetup.msi solo es detectado por 3 software de seguridad de 56 y mientras que el browser_assistant.exe solo es detectado por 2 de 67.

Leer: Malware Mirai RapperBot atacando servidores de juegos en línea con DDoS