Digmine se propaga a través de Facebook Messenger para minar cripto-monedas a tu costa

Utilizar los recursos de tu máquina para minar cripto-monedas está siendo una técnica cada vez más habitual entre los ciber delincuentes. A diferencia de los ya conocidos “ransomwares”, que utilizan técnicas más agresivas, secuestrando literalmente los archivos de tu máquina. Los troyanos de minado de cripto-monedas utilizan la capacidad de procesado del dispositivo infectado para obtener las criptodivisas sin que la víctima se entere.

El pasado 21 de diciembre el equipo de Trend Micro publicó en su blog el análisis sobre una nueva familia: Digmine.

Digmine está programado en ‘AutoIt’, un lenguaje de programación utilizado para automatizar procesos en Windows. Tiene la característica de se propaga a través de Facebook Messenger, utilizando como cebo un supuesto vídeo que en realidad contiene el ejecutable de AutoIt. Cuando la víctima abre el archivo queda infectada y reenvía el mensaje malicioso a sus contactos.

Mensaje-cebo enviado a través de Facebook Messenger. Fuente: http://blog.trendmicro.com/

El proceso de infección ocurre de la siguiente forma:

1. La víctima ejecuta el malware, que se conecta al C&C para descargar su configuración y otros componentes al directorio %appdata% de la víctima.
2. Posteriormente modificará el registro de Windows para ejecutarse al iniciar el ordenador.
3. A continuación ejecutará Chrome e instalará una extensión que se utilizará para mostrar un servicio fraudulento de streaming de vídeo mientras se comunica con el C&C para descargar más configuraciones y manipular Facebook Messenger para propagar el virus.

Captura del servicio fraudulento de streaming. Fuente: http://blog.trendmicro.com/

El componente usado para minar las cripto-monedas es XMRig, un software open-source utilizado para minar ‘Monero’.

Fichero de configuración de XMRig. Fuente: http://blog.trendmicro.com/

Tanto el ‘downloader‘ como el ‘miner‘ usan el protocolo HTTP para comunicarse con el C&C. Utilizando el ‘User-Agent: Miner’ para prevenir en cierta medida conexiones no autorizadas.

GET /api/apple/config.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Miner
Window:
ScriptName:
OS:
Host:

Como medida de seguridad se recomienda bloquear los mensajes de desconocidos o que no hayamos solicitado, así como asegurar nuestra cuenta de Facebook para evitar accesos no autorizados.

Trend Micro ha compartido además algunos indicadores de compromiso con los que actualizar nuestro IDS:

TROJ_DIGMINEIN.A
beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d

BREX_DIGMINEEX.A
5a5b8551a82c57b683f9bd8ba49aefeab3d7c9d299a2d2cb446816cd15d3b3e9

TROJ_DIGMINE.A
f7e0398ae1f5a2f48055cf712b08972a1b6eb14579333bf038d37ed862c55909

Más información:

Digmine Cryptocurrency Miner Spreading via Facebook Messenger:
http://blog.trendmicro.com/trendlabs-security-intelligence/digmine-cryptocurrency-miner-spreading-via-facebook-messenger/