La corporación de software, con sede en Estados Unidos, Microsoft ha eliminado ocho aplicaciones de Windows 10 de su tienda de aplicaciones oficial después de que la firma de ciberseguridad Symantec identificara la presencia del código de minería de Monero (XMR) encubierto. La noticia fue reportada por Symantec el 15 de febrero.
La criptominería oculta —también conocida como 'cryptojacking'— funciona mediante la instalación de malware que utiliza la capacidad de procesamiento de una computadora para minar criptomonedas sin el consentimiento o conocimiento del propietario. Según Symantec, la empresa detectó por primera vez el código de minería XMR malintencionado en ocho aplicaciones —emitidas por tres desarrolladores— el 17 de enero.
Después de que Symantec alertara a Microsoft, se informa que la corporación eliminó los ocho productos —aunque no se proporciona una fecha exacta para su exclusión—.
Puede interesarte: Se encontró al código Coinhive en más de 300 sitios web en todo el mundo en reciente campaña de criptorrobo
Las aplicaciones —que se comercializaron como parte de las listas de aplicaciones gratuitas más importantes de Microsoft Store— incluían "un tutorial de optimización de computadora y batería, búsqueda en Internet, navegadores web y visualización y descarga de videos", y fueron emitidas por los desarrolladores "DigiDream, 1clean y Findoo". Tras una investigación más detallada, Symantec propuso que las ocho aplicaciones probablemente hayan sido desarrolladas por la misma persona o grupo, en lugar de por tres entidades distintas.
Según se informa, todas las muestras detectadas se ejecutan en Windows 10, incluido Windows 10 S Mode, y se publicaron de forma variada entre abril y diciembre del 2018. Se informa que funcionan activando el Administrador de Etiquetas de Google en sus servidores de dominio para buscar una biblioteca de JavaScript de minería de monedas. Una vez que se activa el script de minería, el ciclo de la CPU de la computadora del objetivo se secuestra para minar XMR en favor de los desarrolladores de la aplicación.
Los representantes de Symantec dijeron al sitio web de noticias de tecnología ZDNet que esta es la primera vez que se encuentran casos de 'cryptojacking' en la tienda de Microsoft. El éxito oculto de las aplicaciones se debe al hecho de que se ejecutan independientemente del navegador en una ventana independiente (proceso WWAHost.exe). Además, "no tienen limitación, lo que significa que [pueden usar] hasta el 100% de capacidad de CPU del usuario".
No dejes de leer: Policía turca arrestó a 24 sospechosos involucrados en el hack de criptoempresa, informan medios locales
Como señala Synmantec, mientras que las aplicaciones sospechosas proporcionaban políticas de privacidad, omitieron por unanimidad cualquier mención a la minería de criptomonedas. El análisis de la empresa identificó la variedad de malware de minería incluido en las aplicaciones como el código de minería Coinhive XMR basado en el navegador web.
Symantec dice que no ha sido capaz de determinar estadísticas precisas de descarga o instalación, pero observa que las aplicaciones recibieron casi 1.900 ratings —en cuanto a que éstos reflejan con precisión los usuarios reales o robots fraudulentos, es difícil de determinar.
Además de la acción de Microsoft para eliminar las aplicaciones, el JavaScript de minería también se eliminó de Google Tag Manager, luego de la alerta de Symantec.
Sigue leyendo: Policía de Nueva Zelanda dice que Cryptopia está lista para reanudar el 'trading', pero la plataforma permanece fuera de línea
Tal como se informó, una investigación reciente de la firma de investigación de seguridad cibernética Kaspersky Lab reveló que el 'cryptojacking' superó al ransomware como la mayor amenaza de ciberseguridad —especialmente en Oriente Medio, Turquía y África—.