-
La botnet VictoryGate se propagaba mediante dispositivos USB infectados.
-
Entre las víctimas, destacan empresas del sector financiero peruano.
Una red maliciosa, la botnet VictoryGate, atacó al menos 35.000 equipos, en su mayoría en Latinoamérica, para minar monero (XMR). De ese total, más del 90% de los equipos afectados para minar monero se encuentran en Perú. Así lo reveló una investigación de la firma de seguridad informática ESET, creadora del antivirus NOD32.
El porcentaje correspondiente a equipos en territorio peruano arroja que más de 31.000 de los equipos afectados estaban en ese país suramericano. Entre las víctimas, destacan organizaciones públicas y privadas, incluyendo empresas del sector financiero peruano, señala este informe.
El ataque consistía en secuestrar los recursos de los equipos afectados para minar la criptomoneda enfocada en privacidad. Sin embargo, los investigadores señalaron que por las características de la red “esta funcionalidad podría haber cambiado en cualquier momento”.
Según la investigación, las víctimas descargaban involuntariamente el malware a través de sitios de hospedaje de archivos en internet. Luego, era propagado mediante dispositivos USB infectados.
El texto señala que tras hallar la botnet, el equipo de investigación reportó su existencia ante el proveedor de servicios de DNS dinámico No-IP, empresa donde se alojaban subdominios utilizados por VictoryGate. Esa empresa, dice el reporte, dio de baja esos dominios. Por ello, se logró limitar el poder de control del atacante.
Por otra parte, la investigación dio pie a la recolección de datos que son compartidos con la organización Shadowserver Foundation. Estos datos se usarán para alertar a las autoridades locales y los operadores de red involucrados sobre el hallazgo.
En cuanto a los riesgos de este ataque, el reporte describe que los equipos infectados sufren de un uso elevado de los recursos de su equipo. Ese uso se ve en un rango de entre 90% y 99% de los recursos de la PC afectada. Este exceso no solo podría ralentizar el funcionamiento del equipo, sino dañarlo.
Sobre el funcionamiento de la infección, el texto destaca que los archivos ocultos en el USB infectado se esconden “en una carpeta con atributos de sistema en la raíz de la unidad extraíble”. Esos archivos logran camuflarse haciéndose pasar por archivos legítimos del sistema operativo Windows.
Cuando el usuario ejecuta sin saberlo el módulo inicial escondido en el dispositivo de almacenamiento USB, dicho módulo genera una copia de sí mismo en el sistema de archivos del equipo invadido, agrega el documento de ESET.
Luego, inyecta el código invasor en procesos legítimos del sistema operativo. Con ello, instala el minero XMRig que sirve para la extracción de XMR desde la computadora de la víctima.
El uso de recursos de computadoras infectadas para minar criptomonedas es relativamente común entre los ataques informáticos. Tanto, que recientemente se pudo conocer que miles de servidores de Microsoft han estado infectados con otra botnet que mina monero desde el año 2018, como reportó CriptoNoticias a comienzos del mes de abril.
