Llegamos a ustedes gracias a:



Noticias

Microsoft elimina aplicaciones cryptojacking de su App Store

[18/02/2019] En enero, los investigadores de seguridad de Symantec encontraron aplicaciones de criptografía en la Microsoft App Store, que fueron publicadas en la tienda entre abril y diciembre del 2018. No está claro cuántos usuarios descargaron o instalaron las aplicaciones, pero tenían casi 1.900 valoraciones de usuarios.

Las aplicaciones maliciosas se presentaron como navegadores, motores de búsqueda, descargadores de videos de YouTube, tutoriales de VPN y optimización de computadoras y fueron subidas por tres cuentas de desarrollador llamadas DigiDream, 1clean y Findoo. Sin embargo, los investigadores de Symantec creen que las aplicaciones fueron creadas por una sola persona o por el mismo grupo de atacantes, ya que todas comparten el mismo dominio de origen en el backend.

"Tan pronto como las aplicaciones se descargan y se lanzan, obtienen una biblioteca JavaScript de minado de monedas activando Google Tag Manager (GTM) en sus servidores de dominio", dijeron los investigadores de Symantec en un informe publicado el viernes. "El script de minería se activa y comienza a utilizar la mayoría de los ciclos de CPU de la computadora para extraer Monero para los operadores. Aunque estas aplicaciones parecen proporcionar políticas de privacidad, no se menciona la minería de monedas en sus descripciones en la tienda de aplicaciones".

Los programas fueron publicados como Progressive Web Applications (PWA), un tipo de aplicación que funciona como una página web, pero que también tiene acceso al hardware de la computadora a través de APIs, puede enviar notificaciones push, usar almacenamiento offline y comportarse como un programa nativo. En Windows 10, estas aplicaciones se ejecutan independientemente del navegador, bajo un proceso independiente llamado WWAHost.exe.

Cuando se ejecutan, las aplicaciones llaman GTM, un servicio legítimo que permite a los desarrolladores inyectar dinámicamente JavaScript en sus aplicaciones. Todas las aplicaciones utilizan la misma clave GTM única, lo que sugiere que fueron creadas por el mismo desarrollador.

El script cargado por las aplicaciones es una variante de Coinhive, un minerador de criptomoneda basado en Web que ha sido utilizado en el pasado por los atacantes para infectar sitios web y secuestrar los recursos de CPU de los visitantes.

"Hemos informado a Microsoft y Google sobre el comportamiento de estas aplicaciones", dijeron los investigadores de Symantec. "Microsoft ha eliminado las aplicaciones de su tienda. El JavaScript de minería también ha sido eliminado de Google Tag Manager".

Este incidente muestra que la minería de criptomonedas sigue siendo de gran interés para los ciberdelincuentes. Ya sea para secuestrar computadoras personales o servidores en centros de datos, siempre están en busca de nuevas formas de desplegar monederos.

A menudo se aconseja a los usuarios que solo descarguen aplicaciones de fuentes de confianza, ya sea en sus dispositivos móviles o en sus ordenadores. Sin embargo, con las aplicaciones maliciosas que a menudo llegan a las tiendas de aplicaciones oficiales, ya no es posible confiar solo en ese consejo para la protección.