Con el continuo desarrollo del cibercrimen y su búsqueda por monetizar al máximo sus actividades maliciosas, es usual encontrar cada vez más familias de malware vinculadas con la criptominería. ESET Latinoamérica analizó los diferentes tipos de malware de criptominería y las acciones que estos realizan e identificó que gran parte de estas amenazas utilizan las mismas herramientas y protocolos. Uno de los puntos en común es XMRig, un minero de código abierto, que es utilizado por hasta el 73% del malware dedicado a la minería de criptomonedas en América Latina para ciertas plataformas.
“Más allá de cómo son detectados algunos códigos maliciosos, existen muchas aplicaciones potencialmente no deseadas (PUAs) que también realizan estas acciones sin advertirle claramente al usuario. Estos fenómenos no serían posibles sin la gran expansión que ha sufrido el mercado de las criptomonedas en los últimos años, logrando atraer no solo la atención de los cibercriminales, sino también de muchos desarrolladores que han implementado sus propios algoritmos de minería de código abierto sin tener relación alguna con actividades maliciosas”, mencionan Alan Warburton y Daniel Kundro, Investigadores de Seguridad Informática del Laboratorio de ESET Latinoamérica.
El incremento repentino en la oferta de mineros de código abierto facilita la tarea de los desarrolladores de malware, permitiendo integrar rápidamente sus funcionalidades con las del código malicioso e incluso modificarlos para dificultar su detección y que se adapten correctamente a las demás actividades maliciosas realizadas por el cibercriminal.
Latinoamérica no es la excepción a este comportamiento e incluso se han registrado fuertes incrementos de su presencia en amenazas que afectan a esta región. Tal es el caso de botnets como VictoryGate, especialmente dirigidas a países de la región, o botnets como Phorpiex, presentes en todo el mundo.
ESET analizó la tendencia en la adopción de XMRig por parte de los cibercriminales a lo largo de los últimos años, seleccionando las 15 principales variantes de CoinMiner con mayor número de detecciones registradas por los productos de ESET en Latinoamérica durante 2017, 2018 y 2019.
Como resultado se identificó que el 20% de las variantes más relevantes de CoinMiner para Win32 durante el año 2017 están asociadas a XMRig, mientras que en el año 2018 este número se duplica (40%) y finalmente, en el año 2019 aumenta al 73%. Para el caso de plataformas Win64, en el año 2017 el 26% de las variantes más relevantes están asociadas a XMRig, mientras que en el año 2018 se corresponde el 60% y finalmente, en el año 2019 se reduce ligeramente al 53%.
Según ESET, es esperable que el uso de XMRig frente a otras tecnologías de minería de código abierto continúe en ascenso durante el 2020, aunque a un ritmo menos marcado, ya que se encuentra en un punto de adopción muy alto. Adicionalmente, siguiendo la tendencia observada en los últimos años, también puede preverse un aumento en la cantidad de infecciones asociadas a este minero, especialmente en sistemas Win64.