Minas es un malware criptominero de múltiples etapas

Minas, un software malicioso diseñado para la minería de criptomonedas, es una amenaza insidiosa que explota la aplicación XMRIG, originalmente destinada a la minería legítima de Monero. Este tipo particular de malware ejerce una enorme presión sobre las máquinas infectadas, lo que pone en peligro la salud general del sistema y su hardware.

Minas emplea varias técnicas sofisticadas para eludir la detección y garantizar su longevidad. Su objetivo principal es participar en la minería de criptomonedas, un proceso que implica utilizar el poder de la computadora para resolver problemas matemáticos complejos a fin de generar moneda digital.

El acto de minar requiere un hardware robusto, lo que lleva a los ciberdelincuentes a menudo a explotar los dispositivos de víctimas desprevenidas o aprovechar botnets completos para este propósito, en lugar de invertir en su propio equipo.

La cadena de contagios de Minas, paso a paso

El resumen de la cadena de infección es el siguiente:

• A través del Programador de tareas, se ejecuta un script de PowerShell y se obtiene el archivo lgntoerr.gif de un servidor remoto.
• Tras el descifrado, lgntoerr.gif se transforma en una DLL de .NET, que luego se carga.
• La DLL de .NET extrae y descifra tres archivos: dos DLL y una carga útil cifrada, colocándolos en el directorio ProgramData.
• La DLL de .NET crea una tarea para ejecutar automáticamente el componente legítimo ilasm.exe durante el inicio del sistema mediante el Programador de tareas.
• El Programador de tareas inicia ilasm.exe desde el directorio ProgramData.
• ilasm.exe inicia fusion.dll, un secuestrador de DLL malicioso, que también reside en el mismo directorio.
• fusion.dll carga la segunda DLL descifrada.
• La segunda DLL genera un proceso dllhost.exe suspendido.
• La carga útil dentro del archivo binario encriptado es desencriptada por la segunda DLL.
• La carga útil descifrada se inyecta en el proceso dllhost.exe como una DLL.
• El ID de proceso (PID) del proceso dllhost.exe se guarda en un archivo dentro del directorio ProgramData.
• El control se pasa a la carga útil descifrada dentro del proceso dllhost.exe.
• La DLL de carga útil extrae y ejecuta la DLL del minero en la memoria de la computadora.
• En esencia, estos pasos describen la progresión de la cadena de infección, y cada etapa contribuye a la ejecución del componente minero malicioso.

¿Por qué los criptomineros son una amenaza para el sistema en su conjunto?

Al explotar los recursos del sistema, como las CPU y las GPU, los criptomineros consumen una cantidad significativa de poder computacional para generar monedas digitales. Este uso no autorizado y excesivo puede monopolizar hasta el 100 % de los recursos del dispositivo, lo que provoca bloqueos frecuentes del sistema, bloqueos y otros problemas graves que hacen que el dispositivo afectado quede prácticamente inutilizable.

Además, es probable que la tensión excesiva en el sistema provoque un sobrecalentamiento. Cuando se combina con otros factores como mala ventilación, temperatura ambiente alta y condiciones similares, este calor excesivo puede provocar daños irreversibles en el hardware, esencialmente "freír" los componentes.

En resumen, la presencia de Minas o software malicioso similar en los dispositivos puede tener consecuencias nefastas. Estos incluyen rendimiento reducido del sistema, fallas del sistema, pérdida permanente de datos, deterioro del hardware y pérdidas financieras sustanciales.