La fiebre del bitcoin no sólo ha atraído a miles de inversores y fondos que han apostado por ésta y otras criptomonedas, sino también a los ciberdelincuentes que han desarrollado un troyano configurado para robarlas y cuya actividad ha ido aumentando a medida que el valor de estas divisas aumentaba, según ha podido detectar Sophos.
El nombre de este troyano es CoinHive, que es un cripto minero, es decir, se trata de un software que mediante la resolución de operaciones matemáticas complejas, que requieren un alto uso de procesador (CPU), genera criptomonedas que van a la “cuenta” (wallet) del propietario del cibermafioso. Este cripto minero aprovecha las ventajas de la tecnología JavaScript (lenguaje de programación interpretado) para extraer criptomonedas ocultándose en prácticamente cualquier página web que lo incluya.
Para entender de qué manera funcionan los cripto mineros, tenemos que tener en cuenta que las criptomonedas no se crean, sino que se descubren, y para ello se necesita la potencia de muchos ordenadores que desde cualquier parte del mundo deben resolver esas complejas operaciones matemáticas. De esta forma, los cripto mineros compiten por sacar a la luz nuevas criptomonedas y conseguir las recompensas que se ofrecen por conseguirlo.
Para descubrir criptomonedas es necesario tener en funcionamiento varios ordenadores, por ello, los ciberdelincuentes han creado el troyano CoinHive que accede sigilosamente a la CPU cuando los usuarios abren una página web. Tradicionalmente los cripto mineros no han sido etiquetado como aplicaciones indeseadas porque se han utilizado legítimamente en el equipo del usuario, solicitando siempre permiso para ejecutarse. Sin embargo, desde hace algún tiempo, Sophos ha detectado que los cripto mineros que usan la tecnología JavaScript han empezado a ejecutarse sin pedir permiso, por lo que SophosLabs ha comenzado a etiquetarlos como malware y, por consiguiente, a bloquearlos.
El número de este tipo de cripto mineros clasificados como malware, ha ido creciendo y transformándose. Es decir, en lugar de mostrar una carpeta ejecutable, ahora toman la forma de JavaScript para esconderse en las páginas webs, minando criptomonedas desde cualquier navegador con tan sólo visitar ciertas páginas. Una vez en el dispositivo, no se tiene constancia de la presencia de los mismos, y la única pista de que algo anda mal es que el equipo se ralentiza. Si miramos el uso de CPU podremos ver como éste aumenta sin justificación al visitar la web afectada.
Un claro ejemplo de este tipo de cripto mineros es Coinhive, un minero de la criptomoneda Monero, que apareció a mediados de septiembre. Sophos ha detectado que el número de sitios en que los que se oculta ha aumentado constantemente en las últimas semanas a medida que valor total de la criptomoneda ha ido protagonizando un crecimiento desenfrenado.
En este sentido, Sophos explica que, en el proceso de minar criptomonedas para descubrir Bitcoins, Monero, Ethereum y Litecoin demandan un uso masivo de potencia de procesamiento de los ordenadores, lo que ralentiza su rendimiento, los desgasta, y genera un aumento considerable de la factura de la luz. Esta necesidad de potencia antes no era un problema porque la actividad se limitaba a aquellos que deliberadamente elegían hacerlo, pero empezó a cambiar a medida que crecía el valor de las criptomonedas, como ha pasado con el Bitcoin que ha principio de este año valía mil dólares y al final está valorado en 20 mil dólares.
Coinhive también funciona en dispositivos móviles y durante períodos cortos, el usuario puede notar que la temperatura del dispositivo aumenta drásticamente, disminuyendo considerablemente la carga de batería.
Sophos explica que Coinhive intenta hacerse pasar por una oferta legítima para que los sitios web la utilicen como fuente alternativa de ingresos por anuncios, y también ha descubierto que este troyano ingresa a través del sitio The Pirate Bay, que ha incorporado el troyano Coinhive basado en JavaScript en las páginas de búsqueda para minar Monero.
Desde Sophos, se recomienda bloquear los cripto mineros usando las características de Web Control en los productos de Sophos Endpoint y protección de redes de Sophos.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: