{"id":1614728,"date":"2025-03-10T05:26:34","date_gmt":"2025-03-10T05:26:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/silentcryptominer-infecta-a-2000-usuarios-rusos-a-traves-de-herramientas-falsas-de-derivacion-de-vpn-y-dpi\/"},"modified":"2025-03-10T05:26:38","modified_gmt":"2025-03-10T05:26:38","slug":"silentcryptominer-infecta-a-2000-usuarios-rusos-a-traves-de-herramientas-falsas-de-derivacion-de-vpn-y-dpi","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/silentcryptominer-infecta-a-2000-usuarios-rusos-a-traves-de-herramientas-falsas-de-derivacion-de-vpn-y-dpi\/","title":{"rendered":"SilentCryptominer infecta a 2,000 usuarios rusos a trav\u00e9s de herramientas falsas de derivaci\u00f3n de VPN y DPI"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>10 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia de amenazas \/ delito cibern\u00e9tico<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Una nueva campa\u00f1a de malware masivo est\u00e1 infectando a los usuarios con un minero de criptomonedas llamado Silentcryptominer <\/b>Masqui\u00e1ndolo como una herramienta dise\u00f1ada para eludir los bloques y restricciones de Internet en torno a los servicios en l\u00ednea.<\/p>\n

La compa\u00f1\u00eda rusa de ciberseguridad Kaspersky dijo que la actividad es parte de una tendencia m\u00e1s grande en la que los ciberdelincuentes est\u00e1n aprovechando cada vez m\u00e1s el desv\u00edo de los paquetes de Windows (WPD<\/a>) Herramientas para distribuir malware bajo la apariencia de programas de derivaci\u00f3n de restricci\u00f3n.<\/p>\n

“Dicho software a menudo se distribuye en forma de archivos con instrucciones de instalaci\u00f3n de texto, en las que los desarrolladores recomiendan deshabilitar las soluciones de seguridad, citando falsos positivos”, los investigadores Leonid Bezvershenko, Dmitry Pikush y Oleg Kupreev dicho<\/a>. “Esto juega en manos de los atacantes al permitirles persistir en un sistema sin protecci\u00f3n sin el riesgo de detecci\u00f3n”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El enfoque se ha utilizado como parte de esquemas que propagan robadores, herramientas de acceso remoto (ratas), troyanos que proporcionan acceso remoto oculto y mineros de criptomonedas como NJRAT, XWORM, PHEMEDRONE y DCRAT.<\/p>\n

El \u00faltimo giro en esta t\u00e1ctica es una campa\u00f1a que ha comprometido a m\u00e1s de 2,000 usuarios rusos con un minero disfrazado de herramienta para obtener bloques basados \u200b\u200ben la inspecci\u00f3n profunda de paquetes (DPI). Se dice que el programa se anunci\u00f3 en forma de un enlace a un archivo malicioso a trav\u00e9s de un canal de YouTube con 60,000 suscriptores.<\/p>\n

\"Malware<\/a><\/div>\n

En una escalada posterior de las t\u00e1cticas vistas en noviembre de 2024, se ha encontrado que los actores de amenaza se hacen pasar por tales desarrolladores de herramientas para amenazar a los propietarios de canales con avisos falsos de huelga de derechos de autor y demandan que publiquen videos con enlaces maliciosos o arriesgan a cerrar sus canales debido a una supuesta infracci\u00f3n.<\/p>\n

“Y en diciembre de 2024, los usuarios informaron la distribuci\u00f3n de una versi\u00f3n infectada por minero de la misma herramienta a trav\u00e9s de otros canales de Telegram y YouTube, que desde entonces se han cerrado”, dijo Kaspersky.<\/p>\n

Se ha encontrado que los archivos atrapados en el bacto empacan un ejecutable adicional, con uno de los scripts de lotes leg\u00edtimos modificados para ejecutar el binario a trav\u00e9s de PowerShell. En caso de que el software antivirus instalado en el sistema interfiera con la cadena de ataque y elimine el binario malicioso, los usuarios se muestran un mensaje de error que les insta a volver a descargar el archivo y ejecutarlo despu\u00e9s de deshabilitar las soluciones de seguridad.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El ejecutable es un cargador basado en Python que est\u00e1 dise\u00f1ado para recuperar un malware de la pr\u00f3xima etapa, otro script de Python que descarga la carga \u00fatil del minero SilentCryptominer y establece la persistencia, pero no antes de verificar si se ejecuta en una caja de arena y configurando las exclusiones de defensa de Windows.<\/p>\n

El minero, basado en el minero de c\u00f3digo abierto XMRIG, est\u00e1 acolchado con bloques de datos aleatorios para inflar artificialmente el tama\u00f1o del archivo a 690 MB y finalmente obstaculiza el an\u00e1lisis autom\u00e1tico por soluciones antivirus y cajas de arena.<\/p>\n

“Para el sigilo, SilentCryptominer emplea el hueco del proceso para inyectar el c\u00f3digo minero en un proceso del sistema (en este caso, dwm.exe)”, dijo Kaspersky. “El malware puede dejar de miner\u00eda mientras los procesos especificados en la configuraci\u00f3n est\u00e1n activos. Se puede controlar de forma remota a trav\u00e9s de un panel web”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n