Los expertos de Bitdefender advierten sobre una campaña de cryptojacking a través de una vulnerabilidad de carga lateral de DLL en Microsoft OneDrive. Bitdefender ya ha detectado 700 instancias de Microsoft OneDrive atacadas en mayo y junio de 2022. Alemania es uno de los más afectados.
El cryptojacking es un peligro creciente: los piratas informáticos utilizan los recursos de las PC o dispositivos móviles infectados para usar sus recursos para su propia criptominería. En mayo y junio de 2022, Bitdefender detectó una campaña de ataque global en la que los ciberdelincuentes explotan las vulnerabilidades conocidas de carga lateral de DLL en Microsoft OneDrive para instalar malware de criptominería en los sistemas de las víctimas. En principio, podrían descargar cualquier malware a través de la vulnerabilidad, incluido el malware.
Criptominería de malware a través de una vulnerabilidad
El sistema operativo Windows y otras aplicaciones se basan en los archivos DLL que proporcionan o amplían funcionalidades. Tan pronto como una aplicación necesita una funcionalidad en una DLL específica, la busca en el orden predefinido, primero en el directorio desde el que se cargó la aplicación, luego en el directorio del sistema, en el directorio del sistema de 16 bits, en el Windows Directory, en el directorio utilizado actualmente y más recientemente en los directorios enumerados en la variable de entorno Path. Si no se especifica la ruta completa de los archivos DLL requeridos, la aplicación intenta encontrar el archivo en las rutas descritas. Si los piratas informáticos han implementado una DLL maliciosa en la ruta de búsqueda, se cargará y ejecutará silenciosamente en lugar de la aplicación que realmente necesita.
Descargar archivos DLL maliciosos a través de OneDrive.exe
En el ataque analizado por Bitdefender, los atacantes escriben un archivo security32.dll falso en la ruta %appdata%\Local\Microsoft\OneDrive\ sin privilegios especiales. OneDrive procesa OneDrive.exe o OneDriveStandaloneUpdater.exe y luego los carga. Debido a que %appdata%\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe está programado para ejecutarse todos los días, los archivos DLL falsos ahora persisten en el sistema de la víctima.
Además, los atacantes anclan la DLL falsa en el sistema a través de %appdata%\Local\Microsoft\OneDrive\OneDrive.exe. Configura que OneDrive.exe se inicia con cada reinicio utilizando el registro de Windows. Después de cargar el archivo Secure32.dll falso a través de estos procesos de OneDrive, vuelve a cargar el software de criptominería y lo infecta en procesos legítimos de Windows. De la misma manera, los atacantes también podrían instalar ransomware o spyware en los sistemas.
En la campaña de criptominería, los piratas informáticos difundieron algoritmos para extraer cuatro criptomonedas: Etchasch en particular, así como ethash, ton y xmr. En promedio, los ciberdelincuentes obtienen una ganancia de $13 por computadora infectada. Las víctimas notan pérdidas en el rendimiento de los sistemas.
Microsoft: Instale OneDrive "por máquina".
Los usuarios pueden instalar Microsoft OneDrive "por usuario" o "por máquina". El valor predeterminado es la instalación "por usuario". En esta configuración, los usuarios sin privilegios especiales pueden escribir en la carpeta en la que se encuentra OneDrive. Los piratas informáticos pueden colocar malware malicioso aquí, modificar archivos ejecutables o sobrescribirlos por completo. Por lo tanto, Microsoft recomienda usar OneDrive "por máquina" para instalar y proporciona instrucciones.
Precauciones adicionales necesarias
Sin embargo, la instalación "por máquina" no es adecuada para todos los entornos ni para todos los niveles de privilegio. Por lo tanto, Bitdefender advierte a los usuarios de OneDrive que tengan mucho cuidado. Tanto la protección antivirus como el sistema operativo utilizado deben estar siempre actualizados.
Más en Bitdefender.com
Acerca de Bitdefender Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de