Este virus se esconde un mes en tu PC y luego se pone a minar criptomonedas
Los diferentes tipos de malware siempre están acecho para adentrarse en nuestros equipos e infectarlos. Por ejemplo, recientemente se descubrió un nuevo tipo de virus que se disfrazaba de Google Translate u otros programas para descargar música Mp3 que, básicamente, se instalaba en los ordenadores para poder llegar a minar criptomonedas desde los PC infectados.
Y es que, el mundo digital tiene tanto cosas buenas como malas. Una de ellas son las diferentes apps falsas que se distribuyen a través de distintas tiendas legítimas de software gratuito hasta que se dan cuenta de que escoden malware y son eliminadas. Por esto mismo, siempre habrá que andar con mucho cuidado sobre lo que instalamos finalmente en nuestros ordenadores.
El programa que esconde el malware
Este virus en concreto ha sido descubierto recientemente por Check Point Research. En su investigación, han dejado claro cómo actúa este malware en particular. Básicamente, según su informe, el virus ha sido creado por un desarrollador llamado ‘Nitrokod‘. De primeras, el programa que instala en el ordenador parece estar libre de malware y nos deja usarlo con la función que nos prometía.
Sin embargo, el problema empieza a aparecer un mes después de la instalación del programa en el ordenador. Más que nada, porque el software tiene el objetivo de ir retrasando de manera deliberada la instalación de los distintos componentes de malware hasta un mes después con el objetivo de poder evitar que sea detectado por los diferentes antivirus que puedan tener los usuarios. En ese momento, el virus lograba minar criptomonedas sin que la víctima se diera cuenta de ello.
En total, ha conseguido más de 111.000 víctimas en hasta 11 países desde 2019: Reino Unido, Estados Unidos, Sri Lanka, Grecia, Israel, Alemania, Turquía, Chipre, Australia, Mongolia y Polonia. Además, este tipo de malware se ha colado en sitios populares como Softpedia y Uptodown. Los programas utilizaron que para engañar a los usuarios eran servicios que no tienen una aplicación de escritorio para PC: Yandex Translate, Microsoft Translate, YouTube Music, MP3 Download Manager y Pc Auto Shutdown.
Cómo funciona este virus
Y es que, independientemente del programa que se hubiera descargado (con la firma de este desarrollador), el usuario que lo quería instalar, recibía un archivo .rar protegido con contraseña en el que se encontraban un ejecutable con el nombre de la aplicación. Una vez se ejecutaba en el equipo, se iniciaba una cuenta atrás de cuatro etapas en las que se iban instalando los componentes necesarios para que el malware se instalase por completo.
Esto se conseguía gracias a que, después de la ejecución, el software activaba un cuentagotas de otro archivo .rar encriptado obtenido a través de Wget el quinto día de la infección. Por último, una vez que se haya completado el virus, se establecía una conexión a un servidor remoto de comando y control (C2) en el que se recuperaba un archivo de configuración para comenzar a minar criptomonedas en el PC infectado.
Por tanto, la única manera de protegernos de este tipo de malware será evitando descargar diferentes softwares que el desarrollador original no ha lanzado oficialmente, como ha sido el caso del traductor de Google. De esta manera, podremos evitar caer en la trampa de este tipo de desarrolladores.