Investigadores de seguridad de la firma Trend Micro han descubierto que los hackers modificaron el ransomware XiaoBa para incorporarle el código de Coinhive y minar criptomonedas.

XiaoBa es cargado en una PC, encripta sus archivos y los mantiene secuestrados hasta que el usuario pague el rescate. Sin embargo, el informe de seguridad revela que con esta nueva modificación, inyecta el código de minería de Coinhive en los archivos HTM y HTML utilizados por la PC vulnerada.

Coinhive es un componente basado en JavaScript que es incorporado a los sitios web y que utiliza los recursos de hardware de la PC de los visitantes de dichos sitios para extraer criptomonedas, haciendo que el rendimiento del ordenador disminuya considerablemente durante el proceso.

Usualmente termina cuando el usuario abandona el sitio web, lo que hace que el procesador vuelva a su funcionamiento correcto. Sin embargo, se ha probado la existencia de Coinhive en algunas extensiones de navegador, lo que hace que sea casi imposible escapar de sus acciones mientras el usuario navega en Internet.

La nueva variante de XiaoBa tiene un comportamiento distinto, esta vez se propaga de un ordenador a otro conectado a una red local, lo que aparentemente permite generar mayores ganancias a los coberdelincuentes. Sin embargo, esto no es lo peor, porque al parecer XiaoBa ahora también elimina archivos del sistema, infectando en primer lugar los archivos binarios legítimos (exe, scr, com, pif) y destruyéndolos durante el proceso.

La firma de seguridad ha dicho que XiaoBa logra infectar archivos de cualquier tamaño, dando paso a diversas infecciones en la misma PC. Por ello, el ordenador se queda en una especie de estancamiento porque los recursos del sistema se consumen por la pila de infecciones que consumen una gran cantidad de espacio de almacenamiento.

Cabe destacar que se propaga principalmente vía correo electrónico y estafas en redes sociales, invitando a las víctimas a acceder al enlace con el archivo malicioso. Una vez en el sistema XiaoBa deshabilita las notificaciones del panel de control de Windows y bloquea el acceso a los sitios web relacionados con software antivirus.

La seguridad es importante para evitar este tipo de ataques. Tanto los usuarios particulares como las empresas deben de contar con un buen sistema de respaldos  y con la protección adecuada

Fuente: Coincrispy.

Coss Consulting S.A de C.V, Especialistas en Seguridad Informática.

Distrubuidor Preferred Partner de Barracuda Networks en México.