Los ciberdelincuentes ocultan malware de minería de criptomonedas en forks de proyectos en GitHub
Los ciberdelincuentes han encontrado otra forma de propagar su malware: cargar código de minería de criptomonedas en GitHub, según los investigadores de seguridad de la compañía de seguridad Avast.
Los proyectos 'fork' son una copia del proyecto de otra persona para construir sobre ella. En este caso, los ciberdelincuentes bifurcan proyectos aleatorios y luego ocultan ejecutables maliciosos en la estructura de directorios de estos nuevos proyectos, dijeron los investigadores.
Los usuarios no necesitan descargar los archivos ejecutables maliciosos directamente desde GitHub. En cambio, el malware se propaga a través de una campaña publicitaria de phishing. Cuando los usuarios visitan un sitio que muestra anuncios de phishing y clics en uno, descarga los ejecutables, según los investigadores.
Si el usuario hace clic en uno de estos anuncios, se le informa que su Flash Player está desactualizado y se le ha proporcionado una actualización falsa que, si se descarga, los infectará con el malware. Esta actualización se proporciona a través de un redireccionamiento a GitHub, donde el código está alojado, escondido en proyectos bifurcados.
Aunque el host de malware en GitHub es descrito por los investigadores como "inusual", apuntan a que es beneficioso para los atacantes porque ofrece ancho de banda ilimitado.
Además de esto, el malware también instala una extensión maliciosa de Chrome que inyecta y hace clic en los anuncios en segundo plano, lo que permite a los atacantes obtener aún más beneficios de la campaña cryptojacking.
El malware en sí está diseñado principalmente para minar Monero, una criptomoneda cada vez más popular para delincuentes, ya que es fácil de extraer y ofrece una amplia gama de beneficios de privacidad.
Si bien la minería de criptomonedas a menudo no se detecta - porque la mayoría de los usuarios no vincularán a sus actos con una infección - los que están detrás de esta campaña han hecho un esfuerzo adicional para permanecer sin detectar codificando el malware. Y solo usando un máximo de la mitad de la CPU.
En última instancia, esto permite a la víctima seguir siendo capaz de utilizar su ordenador de manera normal y evitar usar los ventiladores para permitir que la actividad delictiva permanezca sin ser detectada y mine a Monero durante un período de tiempo más largo.
"Cuando los ordenadores de las personas se retrasan, tienden a investigar por qué su ordenador usa toda la potencia de la CPU, buscando las aplicaciones que consumen la mayor cantidad de CPU y memoria", dijo Michal Salat, director de inteligencia de amenazas de Avast.
"Al utilizar menos potencia de CPU, los ciberdelincuentes mantienen un perfil bajo y maximizan sus ganancias al pasar desapercibidos y, por lo tanto, prolongan el tiempo en que pueden explotar el hardware infectado por más dinero".
Si bien GitHub ha estado trabajando activamente con Avast para eliminar los proyectos maliciosos que contienen el código, quienes están detrás de esta campaña de malware son extremadamente persistentes y lo cargan repetidamente en los repositorios.
"GitHub ha estado eliminando el malware a medida que lo descubren y estamos trabajando con ellos para proporcionarles los repositorios maliciosos más recientes para asegurar el lanzamiento antes de que cualquiera pueda descargar el código malicioso", dijo Salat.
Un portavoz de GitHub le dijo: "No moderamos activamente el contenido que las personas comparten en GitHub, pero cuando recibimos informes de contenido que pueden estar en violación de nuestros Términos de Servicio, un equipo investiga a fondo el contenido y los hechos que lo rodean y responde según corresponda. En algunos casos, eso puede significar la inhabilitación del contenido".
Para evitar ser víctimas de este tipo de ataque, los investigadores recomiendan que los usuarios de GitHub solo utilicen repositorios oficiales o de confianza, ya que es menos probable que se vean comprometidos.