Es muy probable que en algún momento de tu vida hayas minado criptomonedas. Y no, no estamos hablando de minar con esos grandes equipos de minería con ventiladores que hacen que toda la habitación se caliente como un horno.

La realidad es que, en algún momento... ¡puede que te hayan engañado! Así es, si has estado usando internet durante unos cuantos años, probablemente hayas minado criptomonedas. Excepto que no sabías que todas esas criptomonedas las estabas minando para otra persona.

Si crees que todo esto se trata de una broma, entonces este artículo es para ti.

En Coin Bureau te llevamos a muchos de los lugares más oscuros del mundo de las criptomonedas, exponiendo sus secretos y asegurándonos de que estás preparado para sobrevivir en el. La industria de las criptomonedas es famosa por su gran cantidad de rug pulls, estafas, suplantaciones de identidad y ataques de malware.

Hoy vamos a echar un vistazo al mundo del "cryptojacking", también conocido como "drive-by mining".

¿Qué es el cryptojacking?

En pocas palabras, la palabra "cryptojacking" se refiere al uso del dispositivo de otra persona para minar criptomonedas sin su permiso o conocimiento. Esto permite al atacante minar criptomonedas para obtener beneficios sin tener que invertir en hardware o electricidad. Estos costes los asume el propietario del dispositivo que es infectado.

Roba nuestras CPUs una vez más. ¡Te desafiamos! Imagen vía Memegenerator

¿Conoces a ese tipo de la oficina que te roba el almuerzo y finge no saber que era tuyo? Sí, ESE tipo. En el mundo de las criptomonedas los criptojackers son esos tipos.

Los dispositivos que son víctimas del cryptojacking suelen calentarse y ralentizarse debido al uso de la CPU por parte del criptojacker. Pero, por supuesto, si fuera tan evidente, la mayoría de los ataques de cryptojacking se detectarían y eliminarían con bastante facilidad.

La mayoría del software de cryptojacking en la actualidad está diseñado para permanecer oculto. Por ejemplo, hay software de cryptojacking que está programado para activarse cuando un dispositivo o una tableta están bloqueados y cargando. Como la batería se está cargando, los usuarios no notan el rápido drenaje de energía del dispositivo y puede que piensen que el aumento de temperatura se debe al proceso de carga.

Pero eso no significa que sean completamente indetectables. Un usuario podría notar la sutil diferencia en el tiempo que tarda en cargar su dispositivo y los constantes problemas de calentamiento del mismo. La mayoría de los dispositivos que son víctimas de software de cryptojacking tienen una vida corta. El uso persistente de la CPU conduce a un fallo del hardware a largo plazo.

En 2020, la división de seguridad en la nube de Cisco informó de que el malware de cryptojacking afectaba al 69% de sus clientes. Así que, cuando decimos que hay una alta probabilidad de que alguna vez hayas minado criptomonedas para otra persona, lo decimos en serio.

Cómo funciona el cryptojacking

Este es un proceso en el que un atacante instala de manera remota un programa en un ordenador, teléfono inteligente o infraestructura en la nube que le permite utilizar los recursos de procesamiento de estos dispositivos para minar criptomonedas.

Esto puede ocurrir de dos maneras: o bien un usuario descarga un archivo que contiene el malware oculto y este se instala automáticamente una vez que el archivo es descargado, o bien un usuario puede visitar una página web con un código de JavaScript incrustado que ejecuta el programa de minería.

Proceso de cryptojacking. Imagen vía Wallarm

El primer método se suele distribuir mediante el envío de correos electrónicos de suplantación de identidad que te piden que descargues un archivo adjunto. Por ejemplo, podrías recibir un correo de una empresa que dice ofrecerte un PDF de su catálogo de productos o podría ofrecerte descargar una aplicación de juego gratuita que dice no incluir anuncios, pero que puede estar secuestrando tu dispositivo. El malware instalado también puede a veces propagarse automáticamente y extenderse a otros dispositivos conectados a tu red. Esto podría significar altos costes de eliminación y limpieza del malware de todos los dispositivos de la red.

El segundo método se conoce comúnmente como "drive-by mining". Su nombre describe la naturaleza con la que se lleva a cabo el ataque. Como el código está incrustado en la página web que el usuario está visitando, el cryptojacking suele terminar una vez que se cierra la pestaña y sólo permanece activo mientras un usuario mantiene su acceso a la página web. Estos códigos también son incorporados algunas veces a anuncios que se muestran en páginas web.

La criptomoneda que más se mina durante los ataques de cryptojacking es Monero (XMR). Dado que XMR es una moneda de privacidad, es una criptomoneda perfecta para aquellos delincuentes que utilizan software de cryptojacking, ya que les resulta más fácil ocultar su rastro. Además, la función de hashing de Monero permite que esta criptomoneda sea minada por medio de CPU, lo que significa que se puede minar XMR con dispositivos ordinarios, a diferencia de Bitcoin.

Historia y evolución del cryptojacking

Coinhive: cryptojacking basado en la web (2017-2019)

El concepto detrás del cryptojacking tiene sus orígenes en una idea genuina de monetización para empresas. Esta se empezó a implementar en septiembre de 2017, cuando una página web llamada Coinhive publicó un código que permitiría a las empresas que lo añadieran a su página web aprovechar la potencia de cálculo de los dispositivos de sus clientes para minar Monero. Este modelo de negocio permitiría a las páginas web seguir funcionando sin depender de anuncios.

Código de minado de Coinhive

The Pirate Bay, un sitio web de intercambio de archivos P2P, insertó este código en su página web e invitó a los usuarios a utilizarlo para ayudarles a generar ingresos y así no tener que mostrar anuncios en el sitio. Por desgracia, una vez que este modelo de negocio se hizo popular, aparecieron páginas web de imitación que ofrecían códigos similares que permitían a los mineros robar ilegalmente la potencia de cálculo de dispositivos móviles, ordenadores portátiles y servidores.

El problema comenzó cuando las páginas web dejaron de pedir permiso a sus usuarios para tomar prestada la capacidad de computación de sus dispositivos. Dado que la mayoría de estas páginas web copiaban el código directamente desde Coinhive para llevar a cabo sus operaciones en secreto, varias empresas de seguridad identificaron que el servicio de minería de Coinhive resultaba ser una amenaza para los usuarios de la web.

Según publicwww.com, un servicio que indexa código fuente de páginas web, en 2018 casi 32.000 páginas web ejecutaban el código de minería de JavaScript de Coinhive. La reacción del público debido al mal uso del código de Coinhive, junto con un mercado bajista, hizo que Coinhive dejara de prestar sus servicios en marzo de 2019.

Si eres una persona a la que le gustaría leer la historia y conocer más información sobre el equipo que estuvo detrás del proyecto, te recomendamos este artículo de KrebsonSecurity sobre Coinhive. Creemos que obtendrás una alta dosis de dramatismo con ese artículo.

Routers MikroTik: cryptojacking basado en routers (2018)

En 2018, casi 200.000 routers MikroTik se vieron comprometidos después de que se detectara un grave fallo de seguridad en Winbox, uno de los servicios de gestión remota incluido en el sistema operativo de estos routers, llamado RouterOS. Esto permitió a los cryptojackers instalar un malware de cryptojacking que lograba infectar a todos los dispositivos conectados a estos routers.

Imagen vía Medium

El ataque comenzó con routers MikroTik en Brasil, pero se extendió rápidamente a otros países. La infección hacía uso de una vulnerabilidad (CVE-2018-14847) en el componente Winbox de los dispositivos, lo que permitía darle a los hackers un acceso de administrador remoto no autenticado a cualquier router MikroTik vulnerable.

La configuración de los routers infectados era alterada para insertar una copia del código de minería de criptomonedas de Coinhive en sitios concretos del tráfico web de las víctimas. Al principio, el atacante insertó el código de Coinhive en todas las páginas que eran gestionadas por el router, posteriormente, fue más precavido e introdujo el código de Coinhive únicamente en las páginas de error devueltas por los routers.

Todo esto permitió al atacante obtener una mayor potencia de minado, ya que infectar la fuente producía un mayor alcance de minado que el que produciría un pequeño sitio infectado.

Glupteba: cryptojacking con botnets (2020-actualidad)

Glupteba es una "botnet" de criptomonedas que instala silenciosamente mineros de criptomonedas en PCs con sistemas operativos Windows para obtener credenciales de acceso y cookies de autenticación. Una botnet es una red de ordenadores infectados con un malware que un atacante puede utilizar para controlarlos.

La botnet Glupteba se desarrolló por medio de anuncios de Google que prometían cracks de softwares y a través de correos electrónicos de phishing que hacían referencia a archivos maliciosos de Google Docs. Se ha descubierto que Glupteba ha infectado dispositivos en todo el mundo, y se calcula que casi un millón de dispositivos se han visto afectados desde el año 2020. Una denuncia presentada por Google a finales de 2021 nombraba a varios ciudadanos y entidades rusas que supuestamente estaban vinculadas con el funcionamiento de la red Glupteba.

Antes de empezar a analizar el funcionamiento de Glupteba y su botnet, ten en cuenta que gran parte de nuestros conocimientos sobre esta botnet los hemos obtenido de un informe reciente de Chainalysis. Por lo que hemos tomado parte de su informe para explicar su funcionamiento.

Si tienes tiempo, te recomendamos que leas el informe completo, o también puedes ver este vídeo de Guy, del canal en inglés, sobre el tema.

Comencemos.

¿Cómo funciona una botnet?

Los ciberdelincuentes controlan la botnet mediante servidores de mando y control (Command & Control o C2). Estos servidores permiten al atacante enviar comandos a los ordenadores infectados con malware a través de Internet. La botnet busca direcciones de dominio propiedad de sus servidores C2 para recibir instrucciones, estas instrucciones incluyen información sobre dónde buscar dentro del malware.

Una de las estrategias más comunes utilizadas por las empresas y los expertos en ciberseguridad para hacer frente a las botnets es retirar ciertos sitios de internet, impidiendo que las botnets reciban instrucciones del servidor C2. En consecuencia, los operadores de botnets suelen crear muchos dominios de reserva en caso de que el dominio principal sea eliminado.

¿Cómo funcionan la botnet de Glupteba?

La mayoría de los programas maliciosos generan nuevas direcciones de dominio que las botnets pueden explorar hasta descubrir una de esas copias de seguridad, lo que les permite recibir más instrucciones del servidor C2. Glupteba, en cambio, hace algo diferente. Su red está programada para examinar la cadena de bloques de Bitcoin en busca de transacciones realizadas por tres direcciones controladas por sus operadores si el servidor C2 está caído.

Tres direcciones de monederos de operadores. Imagen vía Chainalysis

Estas direcciones realizan transacciones de bajo valor con datos encriptados enviados en el campo Op_Return de la transacción, que marca las transacciones como no válidas. Glupteba puede entonces decodificar los datos suministrados en el campo Op_Return para adquirir la dirección de dominio de un nuevo servidor C2.

De este modo, si uno de los servidores C2 de Glupteba es bloqueado, los operadores pueden escanear una cadena de bloques en busca de la nueva dirección de dominio del servidor C2, que queda oculta entre cientos de miles de transacciones diarias.

¿Sigue siendo Glupteba una amenaza?

Al recoger y examinar una dirección IP utilizada por uno de los servidores C2 de Glupteba, Google pudo identificar a las personas mencionadas en la denuncia. La implicación de estas personas se confirmó cuando se encontraron sus nombres como propietarios o administradores registrados de empresas ficticias vinculadas a delitos relacionados con Glupteba, incluida una que vendía publicidad digital falsa como la que se utilizó para infectar dispositivos con esta botnet.

En el plano tecnológico, Google retiró con éxito el servidor C2. Pero dado que Glupteba ha demostrado ser invulnerable frente a este tipo de ataques gracias a su manejo de la cadena de bloques, pronto encontraron una manera de activar un nuevo servidor C2. Por otra parte, algunos analistas temen que Glupteba pueda acabar convirtiéndose en una botnet de ransomware o de denegación de servicio distribuido (DDoS) si logra adquirir un tamaño considerable.

Cómo saber si tu dispositivo ha sido objeto de un cryptojacking

En la actualidad el software de cryptojacking es difícil de detectar, ya que están programados para activarse cuando el dispositivo está inactivo. Aunque esto no hace imposible su detección. Veamos algunos de los factores a tener en cuenta.

Cómo detectar el cryptojacking. Imagen vía Pinterest

Disminución del rendimiento y de la duración de la batería

Una de las señales más reveladoras de que has sido víctima de cryptojacking es percatarse de una fuerte disminución del rendimiento de tu dispositivo. Esto puede traducirse en fallos frecuentes, velocidad de procesamiento lenta y disminución de la duración de la batería.

Si tu dispositivo está siendo víctima de cryptojacking durante su reposo o su carga, sería útil analizar la velocidad a la que se carga tu dispositivo. Si notas que tarda más de lo habitual, es posible que tu dispositivo esté ejecutando el programa de cryptojacking en segundo plano que pueda estar drenando la energía del dispositivo.

Problemas de calentamiento

Si tu dispositivo se sobrecalienta casi todo el tiempo, podría significar que está siendo objeto de cryptojacking. El cryptojacking es una operación que consume muchos recursos y puede hacer que los ordenadores se sobrecalienten. Esto puede dañar los ordenadores o reducir su vida útil. Además, los ventiladores que funcionan más tiempo del estipulado para enfriar el sistema pueden ayudar a calentar aún más tu dispositivo.

Uso elevado de la CPU

Vigila el uso de la CPU de tu dispositivo durante los estados de actividad y de reposo. El Monitor de Actividad o el Administrador de Tareas pueden hacer un seguimiento de la cantidad de CPU que está utilizando tu dispositivo. Si notas un aumento repentino en el uso de tu CPU durante los estados de inactividad, es una señal de que pueden estar ejecutando un software de cryptojacking.

Ejecuta un escáner de malware o de páginas web

Si sospechas que tu dispositivo puede estar infectado con un malware de cryptojacking, es mejor confirmar tus sospechas ejecutando un escáner de malware como Avast o Malwarebytes. Y si sospechas que tu página web ha sido comprometida e infectada, puedes inspeccionar manualmente el código HTML o utilizar programas como Malcure y Sucuri que pueden escanear en busca de códigos maliciosos.

Cómo evitar ser víctima de cryptojacking

Al igual que con cualquier otro método de seguridad en Internet, tener hábitos de navegación y de uso de Internet saludables te puede ayudar mucho. Algunos de estos hábitos son:

Prevención del cryptojacking. Imagen vía Wallarm

Evita abrir correos electrónicos y enlaces de phishing

Nunca hagas click en nada que encuentres en internet sin comprobar dos veces la dirección y las fuentes. Evita responder a DMs (mensajes directos) en Discord que te pidan que te unas a grupos o que te ofrezcan la oportunidad de conseguir acuñar un NFT raro. Nunca obtendrás nada bueno de ello. Una vez que hagas click en el enlace, podrías ser redirigido a una página web que podría infectar tu dispositivo con un malware de cryptojacking.

Utiliza un bloqueador de anuncios

Instala una extensión de bloqueo de anuncios en tu navegador o utiliza un navegador como Brave para evitar que tu dispositivo pueda ser infectado con un código JavaScript insertado en anuncios maliciosos.

Desactiva JavaScript

Desactivar JavaScript puede proteger tu dispositivo contra malware de cryptojacking cuando visites la web. Aunque debes tener en cuenta que desactivar JavaScript te impedirá utilizar muchas de las funciones más comunes que puedas necesitar mientras navegas.

Usa antivirus y escáneres de malware

Adquiere un software de protección en línea de tu proveedor de servicios de Internet. Instala y mantén actualizados tus sistemas de protección antivirus y antimalware con regularidad.

Cómo eliminar un malware de cryptojacking

Si ves que uno de tus dispositivos ha sido infectado con un malware de cryptojacking, sigue los siguientes pasos para eliminarlo de tu dispositivo.

Ejecuta el análisis de Microsoft Defender

El primer paso para eliminar un malware es identificarlo. Descarga e inicia la aplicación Microsoft Defender. Ejecuta un análisis completo que te permita detectar el malware. Elimina cualquier amenaza si es detectada.

Una vez completado el escaneo, ejecuta un escaneo fuera de línea para detectar troyanos que simulan ser archivos del sistema. Elimina cualquier amenaza si es detectada.

Inicia tu dispositivo en modo seguro

El siguiente paso es ejecutar un arranque en modo seguro de tu sistema. Para ello, pulsa los botones Windows y R. Escribe "msconfig" en el cuadro de texto y haz click en enter.

Debe aparecer una ventana emergente. Selecciona la opción de arranque seguro en la pestaña de arranque y reinicia tu PC. El modo de arranque seguro te permitirá eliminar cualquier programa sospechoso sin que cause ninguna interferencia en segundo plano.

Eliminar programas sospechosos y archivos temporales

Entra en el Panel de Control de tu dispositivo y empieza a desinstalar los programas que no desees tener o que sean innecesarios. Esto despejará espacio al mismo tiempo que asegurará de que no te expones a riesgos no deseados.

Para eliminar los archivos temporales, busca limpieza de disco o escribe "%temp%" en la barra de búsqueda. Debería mostrar la lista de todos los archivos temporales y de caché que existen en tu dispositivo. Selecciona todo y elimínalos.

Restablecer la configuración de tu navegador

Haz clic en el menú de configuración de tu navegador y haz click en restablecer.

Inicia tu dispositivo en modo normal

¿Recuerdas el arranque seguro que hemos realizado antes? Es hora de desactivarlo. Vuelve a pulsar los botones Windows y R juntos. Ahora escribe "msconfig",desactiva la opción de arranque seguro y reinicia el sistema.

Escanea tu dispositivo con escáneres anti-malware

Ahora que hemos limpiado el sistema, vuelve a realizar un escaneo para ver si se han eliminado todos los archivos sospechosos. Ayuda tener un escáner fiable.

Si eres una persona a la que le gustan las explicaciones más visuales, entonces consulta este vídeo de MalwareFox sobre el tema.

Conclusión

Ahora que ya sabes lo que es el "cryptojacking", recuerda mantenerte informado de las últimas novedades y noticias sobre el tema. Los atacantes están innovando constantemente y desarrollando diferentes métodos para infectar a usuarios y obtener beneficios. Cuanto más sepamos, mejor podremos evitar ser víctimas de este tipo de ataques.

Aviso: Estas son las opiniones del autor y no deben ser consideradas como consejos de inversión. Los lectores deben hacer su propia investigación.

El artículo Cryptojacking: Deadly Malware or Minor Annoyance? fue publicado por primera vez en Coin Bureau.