Un grupo de investigadores de seguridad de CyberProof ha identificado una nueva campaña maliciosa que se propaga a través de memorias USB, poniendo en riesgo a miles de usuarios a nivel mundial. Esta amenaza puede ocasionar que las computadoras de las víctimas dejen de funcionar correctamente tras la inserción de un pendrive infectado.
En un informe técnico publicado el 15 de agosto de 2024, los analistas del equipo de MDR (Detección y Respuesta Gestionadas) de CyberProof alertaron sobre un ataque que utiliza secuestros de órdenes de búsqueda de DLL y PowerShell, eludiendo las medidas de seguridad convencionales. El modus operandi del ataque inicia con un script de Visual Basic escondido en las unidades USB. Una vez que la víctima inserta el pendrive y se ejecuta el script, se inicia una serie de procesos, incluyendo xcopy.exe, para transferir archivos al directorio System32 de Windows.
Estos archivos permiten la carga lateral de una DLL maliciosa destinada a descargar un minero de criptomonedas, que utiliza los recursos del sistema para generar beneficios económicos para los atacantes. CyberProof confirmó que el malware involucrado está vinculado a una cadena de ataques de criptominería como XMRig o Zephyr, las cuales habían sido reportadas anteriormente.
Impacto global y riesgos asociados
Los investigadores de CyberProof observaron que las tácticas empleadas son similares a un esquema internacional de minería de criptomonedas, expuesto por el CERT de Azerbaiyán en octubre de 2023, conocido como Minería Universal. Esta amenaza se ha registrado en múltiples países europeos, como España, así como en Estados Unidos, Australia, y varias naciones de Asia y África.
La extensión global de esta campaña demuestra la urgencia de cuidar el uso de pendrives. Si un ordenador se infecta con un minero de criptomonedas de este tipo, podría experimentar problemas de rendimiento, bloqueos, mayor consumo de energía, e incluso daños graves en el hardware.
Recomendaciones para protegerse
Como usuario, hay varias medidas preventivas que se pueden implementar para reducir los riesgos asociados a esta amenaza. Limitar el uso de memorias USB en entornos públicos es fundamental. Lugares como bibliotecas, tiendas de impresión y equipos informáticos universitarios pueden estar infectados, lo que representa un riesgo significativo.
Para los usuarios de Windows 10/11, es recomendable desactivar la reproducción automática. Esto se puede hacer accediendo a ‘Configuración’ > ‘Bluetooth y dispositivos’ > ‘Reproducción automática’ y desactivando la opción principal. Para mayor seguridad, bajo ‘Unidad extraíble’, selecciona ‘No realizar ninguna acción’.
Además, es aconsejable desactivar la ejecución automática en todos los sistemas para evitar que se ejecute un archivo malicioso simplemente al conectar una memoria USB. CyberProof también sugiere implementar políticas de control de dispositivos que bloqueen la ejecución de archivos sin firma digital desde unidades extraíbles.
Realizar un mantenimiento constante de los equipos, asegurarse de que estén actualizados e instalar programas de seguridad es clave para prevenir todo tipo de ataques, no solo los relacionados con mineros de criptomonedas, sino también otros tipos de malware que podrían comprometer datos personales y el funcionamiento del sistema.
Si sospechas que tu pendrive está infectado, es crucial utilizar un antivirus para realizar un análisis. Alternativamente, usar un sistema operativo como Linux o formatear la memoria puede ser útil para reducir el riesgo de infección y limitar la exposición a amenazas.
La proliferación de este tipo de malware subraya la necesidad de estar alerta y adoptar medidas proactivas para proteger nuestros datos y dispositivos en un mundo cada vez más conectado y vulnerable.
