Los analistas de Kaspersky han descubierto una campaña global de criptominería que manipula software de gestión de información y eventos de seguridad (SIEM) de código abierto, logrando evadir la detección y mantener la persistencia en los dispositivos infectados. Activa desde 2022, la campaña involucra a atacantes que distribuyen malware disfrazado de software popular, como uTorrent y Microsoft Office, a través de páginas web falsas, canales de Telegram y vídeos en YouTube. Aunque principalmente se dirige a usuarios de habla rusa, la campaña ha afectado a víctimas a nivel mundial.

Los datos de telemetría de Kaspersky revelan que cerca del 88% de los usuarios infectados estaban en Rusia, con casos adicionales reportados en Bielorrusia, India, Uzbekistán y otros países. El malware mina criptomonedas de manera encubierta, utilizando principalmente monedas anónimas como Monero y Zephyr. Una táctica popular utilizada por los atacantes implica el abuso del agente SIEM de Wazuh, una herramienta de seguridad legítima, para ejecutar comandos de forma remota y garantizar el control continuo de los sistemas infectados.

Los atacantes emplearon envenenamiento SEO (SEO poisoning) para promocionar webs maliciosas que imitaban conocidos portales de descarga de software, dirigiendo a usuarios más desprevenidos a contenido dañino. Los canales de Telegram y los vídeos en YouTube también jugaron un papel clave en la propagación del malware, atrayendo frecuentemente a usuarios interesados en inversiones en criptomonedas y mods de videojuegos. Al comprometer herramientas y plataformas ampliamente utilizadas, los atacantes han ampliado su alcance mientras evaden los métodos de detección convencionales.

Un aspecto crítico de la campaña es el abuso del agente SIEM de Wazuh, que permite a los atacantes ejecutar comandos maliciosos mientras evitan las defensas de seguridad tradicionales. Esta táctica, junto con la inyección de malware en archivos legítimos firmados con firmas digitales válidas, permite a los atacantes mantener una presencia persistente y no detectada en los dispositivos infectados.

“El abuso de una herramienta de seguridad legítima como Wazuh con fines maliciosos es una tendencia alarmante que los profesionales de la ciberseguridad deben conocer. Al aprovechar el agente SIEM, los atacantes mantuvieron una presencia persistente en los dispositivos infectados, lo que dificulta que las soluciones de seguridad tradicionales detecten y eliminen la amenaza”, subraya Alexander Kryazhev, líder del equipo de análisis de malware en Kaspersky.

Para proteger tus dispositivos contra criptomineros y otros malwares, los expertos de Kaspersky recomiendan:

• No olvides actualizar regularmente tu sistema operativo y el software. Muchos problemas de seguridad se pueden resolver instalando versiones actualizadas del software.
• Ten precaución con las descargas. Solo descarga software y medios de fuentes fiables. El software malicioso puede estar empaquetado con software legítimo, especialmente si se descarga de webs dudosas.
• Una solución de seguridad fiable, como Kaspersky Premium, te ayudará a detectar todos los criptomineros, incluidos aquellos que no sobrecalientan ni descargan visiblemente tu dispositivo. Incluso un criptominero diseñado para detenerse periódicamente desgastará eventualmente tu teléfono, y uno mal diseñado podría dañarlo.
• Forma a tu equipo sobre el comportamiento seguro online, ya sean miembros de la familia en casa o compañeros de trabajo en la oficina.
• Limita las extensiones y complementos de navegador, solo utiliza los necesarios ya que pueden ser explotados o incluso ser maliciosos. Revisa y elimina regularmente aquellos que no necesites.