Desde la creación de la primera criptomoneda y la popularidad recibida durante los últimos meses ha pasado mucho tiempo. Por el camino, los virus que obligaban a tu ordenador a minar criptomonedas como Monero (XMR) han evolucionado, como en el caso de CryptoJacking Malware KingMiner, pues ha logrado evitar cualquier tipo de detección al lanzar nuevas versiones del malware.
Desde diciembre-enero de 2017/2018 XMR ha perdido más del 91% de su cotización respecto al AT, pero no ha impedido que el malware Cryptojacking como KingMiner lo siga minando utilizando los ordenadores de los más despistados. La empresa de seguridad cibernética Checkpoint informa que KingMiner ha podido mejorar su eficacia e ingenio, lo que hace que sea más difícil detectarlo.
KingMiner se detectó por primera vez a mediados de junio de 2018, seguido de la implementación de dos versiones mejoradas que se dirigen principalmente a productos de Microsoft más específicamente a servidores IIS y SQL. El malware es capaz de implementar varias técnicas de evasión para evitar los métodos de emulación y detección, lo que resulta en tasas de detección significativamente reducidas.
La firma informa:
«Según nuestro análisis de los registros de sensores, hay un aumento constante en el número de intentos de ataque de KingMiner.
Luego de conseguir acceder, el malware puede añdir un archivo Scriptlet de Windows (.sct) en el dispositivo. El archivo luego detecta la arquitectura de la CPU del ordenador y continúa eliminando las versiones anteriores de los archivos de ataque, si es que existen.
Luego descarga un archivo ZIP de carga útil basado en la arquitectura de la CPU, pero en realidad, es un archivo XML que evitará los intentos de emulación. El archivo .exe luego continúa para crear el archivo XMRig miner que está destinado a utilizar hasta el 75% de la capacidad de la CPU.
Los creadores de King Miner han podido evitar el seguimiento mediante el uso de grupos de minería privados. La billetera utilizada no está conectada a ningún grupo público, lo que dificulta la detección de los dominios que se utilizan.
Sin embargo, Checkpoint informa:
«Podemos ver que el ataque actualmente está muy extendido, desde México hasta India, Noruega e Israel».
