La empresa de seguridad cibernética Check Point Research ha descubierto que el criptojacker KingMiner que apunta a la criptomoneda Monero (XMR) está "evolucionando", según un artículo publicado en el blog de una empresa el 30 de noviembre.

Se supone que KingMiner se detectó por primera vez a mediados de junio, y que posteriormente evolucionó en dos versiones mejoradas. El malware ataca servidores de Windows mediante el despliegue de varios métodos de evasión para evitar su detección. Por cada dato de Check Point, varios motores de detección han registrado tasas de detección significativamente menores, mientras que los registros de sensores han mostrado un número creciente de ataques de KingMiner.

La empresa ha estado monitoreando la actividad de KingMiner durante los últimos seis meses y ha llegado a la conclusión de que el malware ha evolucionado en dos nuevas versiones. La entrada del blog explica con más detalle:

"El malware añade continuamente nuevas funciones y métodos de elusión para evitar la emulación. Principalmente, manipula los archivos necesarios y crea una dependencia que es crítica durante la emulación. Además, como parte de la evolución continua del malware, hemos encontrado muchos marcadores de posición para futuras operaciones o próximas actualizaciones que harán que este malware sea aún más difícil de detectar".

Check Point ha determinado que KingMiner utiliza una piscina privada de minería para evitar cualquier detección de sus actividades, en la que la (API) de la piscina se apaga y la billetera no se utiliza en ninguna piscina minera pública. Según se informa, los ataques están muy difundidos en todo el mundo.

Según los hallazgos de la empresa, el software malicioso intenta adivinar las contraseñas de los servidores que ataca. Una vez que el usuario descarga y ejecuta el archivo Scriptlet de Windows, se informa que identifica la arquitectura de la Unidad de Procesamiento Central (CPU) relevante del dispositivo y descarga un archivo ZIP de carga útil basado en la arquitectura de la CPU detectada.

El malware destruye finalmente el proceso de archivo.exe correspondiente y elimina los propios archivos, si existen versiones anteriores de los archivos de ataque. Check Point también señala que el archivo no es un archivo ZIP real, sino más bien un archivo XML, que evitará los intentos de emulación.

Como informó ayer Cointelegraph, la empresa rusa de seguridad en Internet Kaspersky Labs ha descubierto que el malware para criptominería se hizo cada vez más popular entre las redes de bots en 2018. Durante el "boom" del criptojacking en el primer trimestre de 2018, la proporción de malware de criptojacking descargado por botnets, sobre el total de archivos, alcanzó el 4,6 por ciento, en comparación con el 2,9 por ciento en el segundo trimestre de 2017.

Por lo tanto, se dice que las redes de bots son vistas cada vez más como un medio para propagar el malware de criptominería, y los ciberdelincuentes cada vez más consideran que el criptojacking es más favorable que otros vectores de ataque.