Los jugadores de Windows y los usuarios avanzados están siendo atacados por portales de descarga falsas de MSI Afterburner.
El falso software busca infectar a los usuarios con mineros de criptomonedas y el malware RedLine.
MSI Afterburner es una utilidad de GPU que permite configurar el overclocking, crear perfiles de ventiladores, realizar capturas de video y monitorear la temperatura de las tarjetas gráficas instaladas y la utilización de las CPU.
Si bien, la aplicación fue originalmente creada por MSI, el programa es utilizado por usuarios de casi todas las tarjetas gráficas, lo que abre el abanico de posibles engañados a millones de jugadores en todo el mundo.
La aplicación se encarga de modificar la configuración para mejorar el rendimiento mientras se juego y hacer que las GPU sean más silenciosas mientras logran temperaturas bajas.
Malware IceXLoader: El encargado de miles de infecciones por phishing está de vuelta
Sin embargo, la gran popularidad de la herramienta, también la ha convertido en un objetivo de los piratas informáticos que buscan atacar a los usuarios de Windows con GPU potentes.
Plagiar a MSI Afterburner
Según un reciente informe realizado por Cyble, más de 50 sitios web que se hacen pasar por el sitio oficial de MSI Afterburner han aparecido en línea durante los últimos tres meses.
Estos sitios web falsifican la apariencia de MSI y de la aplicación ya indicada, para aprovecharse de las descargas de software malicioso que posteriormente instala mineros de XMR (Monero) junto a otros malware encargados de robar información.
La campaña usa dominios capaces de engañar a los usuarios para que piensen que realmente estan visitando el sitio web oficial de MSI y fáciles de promocionar usando BlackSEO.
Algunos de los dominios detectados por Cyble, son:
- msi-afterburner–download.site
- msi-afterburner-download.site
- msi-afterburner-download.tech
- msi-afterburner-download.online
- msi-afterburner-download.store
- msi-afterburner-download.ru
- msi-afterburner.download
- mslafterburners.com
- msi-afterburnerr.com
En otros casos, los dominios no se parecen a la marca de MSI pero aún así, son promocionados por mensajes directos, foros y otras publicaciones en redes sociales.
Entre otros dominios se incluyen:
- git[.]git[.]skblxin[.]matrizauto[.]net
- git[.]git[.]git[.]skblxin[.]matrizauto[.]net
- git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
- git[.]git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
Minería sigilosa mientras roba tus contraseñas
Cuando se ejecuta el archivo de instalación falso de MSI Afterburner (MSIAfterburnerSetup.msi), se instalará el programa legítimo de Afterburner, más.
Sin embargo, el instalador también descargará y ejecutará silenciosamente el malware encargado de robar información RedLine y un minero XMR en el host atacado.
El minero se instala a través de un ejecutable de Python de 64 bits llamado ‘browser_assistant.exe’ en el directorio de archivos de programa local, que se encarga de inyectar un shell en el proceso creado por el instalador.
Este shellcode recupera el minero XMR de un repositorio de GitHub y lo inyecta directamente en la memoria junto al proceso explorer.exe.
Dado que el minero nunca toca el disco, se minimizan las posibilidades de ser detectado por cualquier antivirus o cualquier otro servicio de seguridad.
El minero se conecta al grupo de minería utilizando un nombre de usuario y una contraseña codificados y luego recopila y extrae datos básicos del sistema que son enviados a los atacantes.
Uno de los argumentos que usa el minero XMR es ‘CPU max threads’ establecido en 20, superando el recuento de subprocesos de CPU más moderno, por lo que está configurado para capturar la mayor potencia disponible.
El minero se configura para minar solo después de 60 minutos desde que la CPU entró en inactividad, lo que significa que la computadora infectada no está ejecutando ninguna tarea que requiera muchos recursos y eso hace que el usuario no se de cuenta de lo que está ocurriendo.
Además, se utiliza el argumento “-cinit-stealth-targets” para pausar la actividad de minería y borrar la memoria de la GPU cuando se inician programas específicos enumerados como “objetivos ocultos”.
Estos pueden ser monitores de procesos, herramientas antivirus, visores de recursos de hardware u otras herramientas que ayudan a la víctima a detectar el proceso malicioso.
En este caso, las aplicaciones de Windows de las que el minero intenta ocultarse son Taskmgr.exe, ProcessHacker.exe, perfmon.exe, procexp.exe y procexp64.exe.
Mientras el minero está secuestrando silenciosamente los recursos de tu computadora para minar Monero, RedLine ya se habrá ejecutado en segundo plano robando tus contraseñas, cookies, información del navegador y cualquier posible billetera de criptomonedas.
Desafortunadamente, casi todos los componentes de esta campaña falsa de MSI Afterburner son totalmente indetectables para cualquier software de antivirus posible.
VirusTotal informa que el archivo de instalación malicioso ‘MSIAfterburnerSetup.msi’ solo es detectado por tres productos de seguridad entre 56, mientras que ‘ browser_assistant.exe ‘ solo es detectado por 2 de 67.
Si quieres mantenerte a salvo de mineros y malware, descarga las herramientas directamente de los sitios totalmente oficiales en otros sitios, como pueden ser foros, redes sociales o mensajes directos.
En este caso, la aplicación de MSI Afterburner legítima, puedes descargarse directamente desde MSI: www.msi.com/Landing/afterburner/graphics-cards.