¬ŅQu√© es Coin Miner Malware? Explicaci√≥n del troyano CoinMiner

Coin Miner es un malware que se enfoca en ganar criptomonedas al minarlas en la CPU o GPU de las víctimas.

Quiz√°s le interese echar un vistazo a nuestras otras herramientas antivirus:
Trojan Killer, Trojan Scanner and Free Online Checker.

¬ŅQu√© es Coin Miner? | Malware CoinMiner | Gridinsoft

Malware CoinMiner

September 16, 2023

La minería de criptomonedas se convirtió en la fiebre del oro del siglo XXI. Todos han oído hablar de ello, y mucha gente ha comenzado a utilizarlo como una fuente de ingresos adicionales o incluso primaria. Sin embargo, el gran dinero atrae no solo a las personas ricas, sino también a los rufianes que buscan reclamar ese dinero o hacer que alguien trabaje para su enriquecimiento.

Coin Miner es un tipo de malware que utiliza los componentes de hardware de la PC de la víctima para minar criptomonedas. En la mayoría de los casos, los delincuentes que controlan dicho virus Coin Miner utilizan Monero (XMR) o (Litecoin, por ejemplo), ya que son las más fáciles de minar. Pueden utilizar software similar o incluso idéntico al utilizado para la minería legítima, pero con una diferencia clave: las personas cuyo hardware se utiliza nunca dieron su consentimiento para esto.

El malware de miner√≠a de criptomonedas generalmente se enfoca en realizar su actividad en la CPU del usuario. Esto sucede porque hay un gran n√ļmero de PC, especialmente en oficinas, que no tienen GPU. Aunque la miner√≠a con GPU es mucho m√°s eficiente en ordenes de magnitud, es importante para los delincuentes que se ejecute con √©xito en cada PC que invaden. Sustituyen la calidad con la cantidad, lo cual es bastante efectivo con las criptomonedas elegidas.

¬ŅC√≥mo funciona el Malware CoinMiner?

Como se mencion√≥ anteriormente, los mineros de criptomonedas hacen casi las mismas cosas que los mineros leg√≠timos y a veces utilizan el mismo c√≥digo base de las herramientas de c√≥digo abierto. Se concentran en realizar los c√°lculos de un hash de bloque de transacci√≥n utilizando el hardware. Dependiendo de la criptomoneda, el hash puede constar de 64, 128, 256 o m√°s s√≠mbolos. Esta operaci√≥n es necesaria para agregar la informaci√≥n de la transacci√≥n a una cadena de bloques, un libro de contabilidad global √ļnico para cada criptomoneda.

Esquema de minería de criptomonedas

Las GPU son mucho m√°s eficientes que la CPU para esa tarea, ya que tienen miles de n√ļcleos de ejecuci√≥n, a diferencia de las CPU que suelen tener de 4 a 8 n√ļcleos. Es por eso que probablemente hayas o√≠do hablar del aumento de precio de las tarjetas gr√°ficas durante el √ļltimo auge de las criptomonedas. A√ļn puedes realizar la miner√≠a con un procesador, pero la tarea de c√°lculo del hash es sensible al tiempo. Si no lo completas a tiempo, alguien m√°s recibir√° una recompensa por hacerlo m√°s r√°pido. Para mitigar este problema desde ambos extremos, los delincuentes optan por criptomonedas f√°ciles de minar y aplican la pirater√≠a en cientos de computadoras para agregarlas a su red. Por lo tanto, incluso tener CPUs antiguas y d√©biles ser√° compensado por su cantidad.

Por lo general, el malware de miner√≠a de criptomonedas subordina el servidor de comandos, teniendo solo peque√Īas decisiones que tomar de forma aut√≥noma. Sin embargo, la configuraci√≥n inicial del minero de monedas casi siempre ocurre de forma independiente del servidor, ya que la propagaci√≥n tiene una escala masiva. Despu√©s de ser configurado, el malware se conecta al servidor, recibe las instrucciones unificadas y comienza a funcionar. Para que esta conexi√≥n sea m√°s sigilosa, los delincuentes alquilan un servidor en un hosting conocido, afortunadamente para ellos, aplican pagos con criptomonedas en estos d√≠as.

Muestras de Troyano CoinMiner Encontradas:

Trojan.Win32.CoinMiner.vb!s156d612e014504c96bb92429c31eb93f40938015d422b35765912ac4e6bd3755b
Trojan.Win32.Miner.oa!s12bf58596ffc0eccff8b4a3a91c7cf36f32c480362c0f6690e6ceb3da94930273
Trojan.Win64.CoinMiner.ca392df2fd2feee03aca0d107bdab6ad0e61f048f7f8117676c8ee4a8be6213125
Risk.Win64.CoinMiner.sd!ic0318b7efa36fbe78457af324f5a2ec0f43b0dd36e6095eb5fa39ea1a7f4100c
Trojan.Win32.CoinMiner.cldcb603bffbb5896e0674cfc2ca0e64efe32eb53f5b99dbd3c2aa64ef55dc804fc
Trojan.Win32.CoinMiner.sa5d5f75afce6af4d0f4a09ad3a2d781fc1b91f1b7a440e9dc54da42507d723ed7
Trojan.Win32.CoinMiner.sa8b919845a9b13861d7095a64e5e2db3298021bccc7962fd7995b9de9e76b268f

¬ŅC√≥mo obtienes un Virus Coin Miner?

La mayor√≠a de los mineros de monedas ingresan a tu PC como troyanos, disfrazados como aplicaciones o herramientas leg√≠timas. La forma exacta en que se propagan puede diferir, seg√ļn la decisi√≥n de un delincuente que gestiona la distribuci√≥n. Pero en general, te encontrar√°s con el minero de monedas en aplicaciones pirateadas, herramientas para acciones no tan leg√≠timas y en correo no deseado. Para algunos ejemplos, se te recomendar√° desactivar tu antivirus, y eso ya debe considerarse una amenaza. Sin embargo, como se mencion√≥ anteriormente, hay formas de hacerlo m√°s sigiloso incluso sin manipular la configuraci√≥n de seguridad del usuario.

El correo no deseado por correo electrónico es una de las formas populares de propagación del malware Coin Miner
El correo no deseado por correo electrónico es una de las formas populares de propagación del malware Coin Miner

El correo no deseado por correo electrónico como forma de distribución del minero de monedas es bastante nuevo y parece tener menos propagación en estos días. A principios del verano de 2022, hubo un gran brote de estos mineros, que generalmente apuntaban a países de habla hispana. El malware se encontraba en archivos .docx, .xlsx, .pdf o .txt falsos, que se adjuntaban a la carta. En lugar del esquema clásico con un script macro malicioso en el interior de un documento, los delincuentes utilizaron otro esquema más antiguo: la doble extensión. Por defecto, Windows tiene deshabilitada la visualización de extensiones de archivos, por lo que las víctimas solo veían la extensión "legítima" de un documento. De hecho, todos estos archivos eran ejecutables: la extensión .exe se ocultaba detrás de la configuración de la interfaz.

¬ŅEs peligroso el Malware CoinMiner?

En general, el malware Coin Miner genera mucha incomodidad en el uso de la PC. La minería de criptomonedas es un proceso que consume muchos recursos, por lo que usar la computadora que está involucrada en la minería es casi imposible. Tener tu CPU o GPU cargadas al límite, donde apenas es suficiente para que funcione el sistema operativo (~75-80%), significa que probablemente lucharás incluso para abrir el navegador web. La minería exprime al máximo toda la potencia disponible y, dado que está controlada por hackers, no tienes forma de gestionar esta carga.

Sin embargo, ese no es el √ļnico peligro de la miner√≠a. El c√°lculo eficiente de hash supone una carga constante para tu hardware y los hackers nunca desaprovechan la oportunidad de explotar el sistema que han infectado el mayor tiempo posible. Para las CPU, las cargas a largo plazo no son muy cr√≠ticas: pueden fallar solo si tienen alguna falla en el cristal de silicio o un disipador de calor roto. Mientras tanto, las GPU sufren un desgaste importante durante la miner√≠a; algunos modelos pueden perder m√°s del 20% de su rendimiento en un mes, seg√ļn el software y c√≥mo se gestiona la carga. Esto suele ocurrir cuando la temperatura y la carga del hardware se gestionan de manera inadecuada, pero una vez m√°s, ¬Ņcu√°ndo han prestado atenci√≥n los ciberdelincuentes al estado de la PC de las v√≠ctimas?

También existe un riesgo del que generalmente no se habla. Los mineros de monedas pueden recopilar paquetes de datos que son más típicos de spyware y robos de información. Información sobre la ubicación, la dirección IP real de una víctima, la configuración de la PC, información personal: estas cosas recopiladas en una base de datos pueden valer mucho en la Darknet. Y los rufianes que propagan mineros maliciosos nunca desaprovecharán la oportunidad de obtener un beneficio monetario. Incrustar la funcionalidad de spyware es cuestión de unos minutos y los resultados pueden ser alarmantemente malos para una víctima.

¬ŅC√≥mo detectar el Malware CoinMiner?

El signo clave de la actividad de un minero de monedas es la lentitud general del sistema. Es obvio que cualquier sistema ser√° dif√≠cil de usar cuando el elemento clave del sistema est√° distra√≠do con otra tarea. El malware Coin Miner agota toda la potencia disponible, independientemente de si se trata de un Celeron de hace 10 a√Īos o un Threadripper. Adem√°s, definitivamente escuchar√°s que la ventilaci√≥n de calor gira a m√°ximas RPM. Sin embargo, tales situaciones tambi√©n pueden ocurrir cuando realizas tus tareas diarias, por lo que es importante realizar una investigaci√≥n adicional.

Algo carga el procesador al 100%
Algo carga el procesador al 100%

Contrario al spyware mencionado anteriormente, el malware Coin Miner nunca oculta su presencia. De hecho, es imposible, ya que hay un signo no removible de su presencia: la carga extrema del hardware. Como no pueden deshacerse de ello, intentan disfrazar el proceso malicioso (que definitivamente estar√° presente en el Administrador de tareas) como algo conocido y leg√≠timo. La forma m√°s com√ļn de ocultamiento es tomar el nombre de un cierto proceso del sistema. La mayor√≠a de los usuarios no tienen idea de los mecanismos internos de Windows y, por lo tanto, no pueden juzgar acerca de la adecuaci√≥n de los procesos que se ejecutan en segundo plano.

Ver un proceso como "winlogon.exe" o "msmpeng.exe" que consume más del 70% de la potencia de hardware no les dice nada, y buscar en Google probablemente mostrará que estos procesos son parte de Windows. Sin embargo, no hay situaciones en las que estos procesos puedan consumir tanto poder de CPU. Hay algunas exclusiones, evidentemente, pero son muy raras y lo más probable es que tal situación signifique que tienes un malware Coin Miner en tu sistema.

Signos típicos de que se está ejecutando un virus Coin Miner en tu sistema

  • Carga alta de la CPU o GPU que est√° presente independientemente de tus acciones en la PC;
  • Un proceso del sistema presente en el √°rbol de procesos del usuario;
  • Incapacidad para solucionar la situaci√≥n con reinicios, es decir, la carga de la CPU aparece tan pronto como se inicia la computadora;
  • Microsoft Defender est√° desactivado;

De todas formas, la mejor manera de estar seguro de que tienes exactamente este problema es utilizar software antivirus. Puedes hacer conjeturas, por supuesto, y la probabilidad de acertar puede ser bastante alta, pero en esa situación depender de una conjetura no es una opción. Un software especializado que tiene varios sistemas de detección definitivamente mostrará todos los detalles de lo que está sucediendo y eliminará al intruso si está presente.

Cómo proteger tu PC del Malware CoinMiner

Los mineros de monedas no son tan fáciles de predecir y eliminar, ya que sus oleadas de propagación rara vez coinciden con la actividad de otros tipos de malware. Este tipo de malware se orienta más hacia los valores de las criptomonedas, que son mucho menos predecibles que otro software malicioso. Por lo tanto, debes esperar nuevos trucos y métodos con la próxima oleada de la fiebre de las criptomonedas.

La mejor manera de reducir los riesgos es evitar las posibles fuentes de malware. Claro, no puedes evitar el uso de su principal fuente, Internet, pero definitivamente puedes dejar de visitar lugares peligrosos y de usar software que podr√≠a da√Īar tu sistema. Los sitios warez que ofrecen versiones crackeadas de aplicaciones populares, foros o comunidades de Discord que comparten herramientas hechas a mano, correos electr√≥nicos de remitentes desconocidos: no debes confiar en ellos. Incluso si est√°s seguro de que esta fuente no propaga cosas maliciosas, es mejor verificar antes de la instalaci√≥n, nunca puedes estar seguro de que lo siguiente no ser√° malicioso.

El m√©todo definitivo, que a√ļn debe actuar como √ļltimo argumento, es un software antivirus eficaz con protecci√≥n proactiva. Con aplicaciones menos complicadas, definitivamente puedes detectar el malware Coin Miner que ya est√° en funcionamiento, pero la protecci√≥n proactiva puede detenerlo incluso antes de que haga algo. Y recuerda que los virus Coin Miner pueden actuar f√°cilmente como spyware, y darle m√°s tiempo para actuar significa publicar todos tus detalles personales. GridinSoft Anti-Malware har√° todo como deber√≠a ser: r√°pido y sin darle al malware ni una oportunidad.