Falsa app de MSI Afterburner está infectando a los gamers de Windows con mineros y keyloggers

Los jugadores de Windows y los usuarios avanzados están siendo atacados por portales de descarga falsas de MSI Afterburner.

El falso software busca infectar a los usuarios con mineros de criptomonedas y el malware RedLine.

MSI Afterburner es una utilidad de GPU que permite configurar el overclocking, crear perfiles de ventiladores, realizar capturas de video y monitorear la temperatura de las tarjetas gráficas instaladas y la utilización de las CPU.

Malware, ¿Qué es el Ransomware?

Si bien, la aplicación fue originalmente creada por MSI, el programa es utilizado por usuarios de casi todas las tarjetas gráficas, lo que abre el abanico de posibles engañados a millones de jugadores en todo el mundo.

La aplicación se encarga de modificar la configuración para mejorar el rendimiento mientras se juego y hacer que las GPU sean más silenciosas mientras logran temperaturas bajas.

Malware IceXLoader: El encargado de miles de infecciones por phishing está de vuelta

Sin embargo, la gran popularidad de la herramienta, también la ha convertido en un objetivo de los piratas informáticos que buscan atacar a los usuarios de Windows con GPU potentes.

Plagiar a MSI Afterburner

Según un reciente informe realizado por Cyble, más de 50 sitios web que se hacen pasar por el sitio oficial de MSI Afterburner han aparecido en línea durante los últimos tres meses.

Estos sitios web falsifican la apariencia de MSI y de la aplicación ya indicada, para aprovecharse de las descargas de software malicioso que posteriormente instala mineros de XMR (Monero) junto a otros malware encargados de robar información.

La campaña usa dominios capaces de engañar a los usuarios para que piensen que realmente estan visitando el sitio web oficial de MSI y fáciles de promocionar usando BlackSEO.

Algunos de los dominios detectados por Cyble, son:

  • msi-afterburner–download.site
  • msi-afterburner-download.site
  • msi-afterburner-download.tech
  • msi-afterburner-download.online
  • msi-afterburner-download.store
  • msi-afterburner-download.ru
  • msi-afterburner.download
  • mslafterburners.com
  • msi-afterburnerr.com

En otros casos, los dominios no se parecen a la marca de MSI pero aún así, son promocionados por mensajes directos, foros y otras publicaciones en redes sociales.

Entre otros dominios se incluyen:

  • git[.]git[.]skblxin[.]matrizauto[.]net
  • git[.]git[.]git[.]skblxin[.]matrizauto[.]net
  • git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
  • git[.]git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net

Minería sigilosa mientras roba tus contraseñas

Cuando se ejecuta el archivo de instalación falso de MSI Afterburner (MSIAfterburnerSetup.msi), se instalará el programa legítimo de Afterburner, más.

Sin embargo, el instalador también descargará y ejecutará silenciosamente el malware encargado de robar información RedLine y un minero XMR en el host atacado.

El minero se instala a través de un ejecutable de Python de 64 bits llamado ‘browser_assistant.exe’ en el directorio de archivos de programa local, que se encarga de inyectar un shell en el proceso creado por el instalador.

Este shellcode recupera el minero XMR de un repositorio de GitHub y lo inyecta directamente en la memoria junto al proceso explorer.exe.

Dado que el minero nunca toca el disco, se minimizan las posibilidades de ser detectado por cualquier antivirus o cualquier otro servicio de seguridad.

El minero se conecta al grupo de minería utilizando un nombre de usuario y una contraseña codificados y luego recopila y extrae datos básicos del sistema que son enviados a los atacantes.

Uno de los argumentos que usa el minero XMR es ‘CPU max threads’ establecido en 20, superando el recuento de subprocesos de CPU más moderno, por lo que está configurado para capturar la mayor potencia disponible.

El minero se configura para minar solo después de 60 minutos desde que la CPU entró en inactividad, lo que significa que la computadora infectada no está ejecutando ninguna tarea que requiera muchos recursos y eso hace que el usuario no se de cuenta de lo que está ocurriendo.

Además, se utiliza el argumento “-cinit-stealth-targets” para pausar la actividad de minería y borrar la memoria de la GPU cuando se inician programas específicos enumerados como “objetivos ocultos”.

Estos pueden ser monitores de procesos, herramientas antivirus, visores de recursos de hardware u otras herramientas que ayudan a la víctima a detectar el proceso malicioso.

En este caso, las aplicaciones de Windows de las que el minero intenta ocultarse son Taskmgr.exe, ProcessHacker.exe, perfmon.exe, procexp.exe y procexp64.exe.

Mientras el minero está secuestrando silenciosamente los recursos de tu computadora para minar Monero, RedLine ya se habrá ejecutado en segundo plano robando tus contraseñas, cookies, información del navegador y cualquier posible billetera de criptomonedas.

Desafortunadamente, casi todos los componentes de esta campaña falsa de MSI Afterburner son totalmente indetectables para cualquier software de antivirus posible.

VirusTotal informa que el archivo de instalación malicioso ‘MSIAfterburnerSetup.msi’ solo es detectado por tres productos de seguridad entre 56, mientras que ‘ browser_assistant.exe ‘ solo es detectado por 2 de 67.

Si quieres mantenerte a salvo de mineros y malware, descarga las herramientas directamente de los sitios totalmente oficiales en otros sitios, como pueden ser foros, redes sociales o mensajes directos.

En este caso, la aplicación de MSI Afterburner legítima, puedes descargarse directamente desde MSI: www.msi.com/Landing/afterburner/graphics-cards.

Artículos Relacionados
Detenido pedófilo que usaba la Inteligencia Artificial para generar pornografía infantil

Hoy, 21 de Diciembre, fue arrestado en Valladolid un pedófilo que se encargaba de generar material sobre abusos sexuales infantiles con herramientas de Inteligencia Artificial. https://ciberninjas.com/diferencias-entre-ai-ml-dl/ Según las fuentes, el detenido, habría estado descargando gran cantidad de material sobre abusos y agresiones a menores ¡SEGUIR LEYENDO!

Global 500: Informe Anual sobre las Marcas Más Valiosas del Mundo de la Tecnología en 2020

El informe proporcionan un desglose completo de los supuestos, las fuentes de datos y los cálculos utilizados para llegar al valor de su marca. Amazon hace historia como la primera marca en superar la marca de valor de US $ 200 mil millones y ¡SEGUIR LEYENDO!

¿Qué es la ley de Aarón?

La Ley de Aaron está pendiente de legislación y finalmente estancada fue introducida en respuesta a la muerte de Aaron Swartz, un respetado y célebre activista político, programador informático y empresario que fundó Demand Progress y co-fundador de Reddit. Swartz murió el 11 de ¡SEGUIR LEYENDO!

WhatsApp está caído para millones de usuarios

La aplicación WhatsApp está caída afectando a millones de usuarios. Los usuarios no pueden enviar ni recibir mensajes de texto y realizar llamadas de voz y videollamadas. La aplicación permitiría a las personas escribir mensajes a amigos y luego presionar enviar. https://ciberninjas.com/wa-hasta-2-gb/ Pero después ¡SEGUIR LEYENDO!

Juegos de 2023: Los juegos de PC más esperados del año

2023 es un año muy grande para los juegos de PC, así que echemos un vistazo a todo lo que esta por venir. ¿Quieres un resumen de todos los próximos juegos de PC de 2023? 2023 está aquí y parece que este año será ¡SEGUIR LEYENDO!

Unity compra a los desarrolladores de criaturas digitales 3D detrás de Hellblade II

Unity Technologies ha anunciado la adquisición de Ziva Dynamics para hacer que sus herramientas de creación de criaturas digitales con expresiones faciales realistas y animaciones sean más accesibles para los artistas. La tecnología se utiliza en juegos como Marvel’s Spider-Man y Senua’s Saga: Hellblade ¡SEGUIR LEYENDO!

Cisco Systems confirma que sus sistemas fueron pirateados por el Grupo Yanluowang

Cisco Systems confirmó que su red corporativa fue atacada por piratas informáticos que distribuían el ransomware Yanluowang a finales de Mayo. La compañía pudo observar que los atacantes lograron robar datos no confidenciales asociados con una cuenta comprometida de uno de sus empleados. Según ¡SEGUIR LEYENDO!

Salir de la versión móvil