CRIPTOMONEDA ZCASH, UNA NUEVA OPORTUNIDAD PARA LOS CRIMINALES CIBERNÉTICOS

CONOCIMIENTO pertenece al mundo

El 28 de octubre, el mundo criptomoneda vio la aparición de un nuevo actor, el (ZEC) criptomoneda Zcash. Sus desarrolladores han descrito más bien en sentido figurado: "Si Bitcoin es como HTTP para el dinero, Zcash es HTTPS." Ellos continúan señalando que "a diferencia de Bitcoin, transacciones Zcash se pueden proteger para ocultar el remitente, el destinatario y el valor de todas las transacciones."

El mercado criptomoneda ha estado buscando este nivel de anonimato desde hace un tiempo, por lo que la ZEC ha atraído considerable interés por parte de los inversores, los mineros y los delincuentes por igual. Varias principales bolsas criptomoneda fueron rápidos para ofrecer apoyo a la nueva moneda.

Zcash tuvo un comienzo de vuelo; dentro de las primeras horas, 1 ZEC alcanzó $ 30.000. Debe señalarse, sin embargo, que sólo había unas pocas docenas de monedas en existencia en ese momento, por lo que el volumen de negocios real era muy baja.

En los días siguientes, el valor de la ZEC disminuyó de manera constante contra Bitcoin. En el momento de la escritura, se había estabilizado temporalmente 0,07 - 0,01 ZEC / BTC (alrededor de $ 70). A pesar de esta caída espectacular de los valores iniciales (que se preveía), minería Zcash sigue siendo uno de los más rentables en comparación con otros cryptocurrencies.

Clasificación de la rentabilidad minera criptomoneda, según lo informado por el sitio web CoinWarz

Esto ha llevado a la reactivación de un determinado tipo de actividad criminal cibernético - la creación de redes de bots para la minería. Hace algunos años, se crearon redes de bots para la minería bitcoin, pero el negocio de todos, pero se extinguieron después de que quedó sólo marginalmente rentable.

En noviembre, se registraron varios incidentes en los que se ha instalado software de minería de Zcash en los ordenadores de los usuarios sin permiso. Debido a que estos programas de software malicioso no son en sí mismos, la mayoría de los programas anti-malware no reaccionan a ellos, o detectan como programas potencialmente no deseados (PUP). Productos de Kaspersky Lab a detectar como not-a-virus: RiskTool.Win64.BitCoinMiner .

Los cibercriminales utilizan formas más convencionales para distribuir software de minería - que se instalan bajo la apariencia de otros programas legítimos, tales como software pirata distribuidas a través de torrentes. Hasta ahora, no hemos visto ningún caso de envíos masivos o vulnerabilidades en sitios web explotados para distribuir software de minería; Sin embargo, siempre que la minería sigue siendo tan rentable como lo es ahora, esto es sólo una cuestión de tiempo. El software también se puede instalar en equipos que estaban infectados antes y pasaron a formar parte de una red de bots para alquilar.

El software de minería más popular hasta la fecha es nheqminer de la piscina de la minería Micemash. Tiene dos variaciones conocidas: uno gana pagos en bitcoins, el otro en Zcash. Ambos son detectados por productos de Kaspersky Lab, con los respectivos veredictos not-a-virus: RiskTool.Win64.BitCoinMiner.bez y no-a-virus: RiskTool.Win64.BitCoinMiner.bfa .

Todo lo que los delincuentes tienen que hacer para comenzar a beneficiarse de un programa de la minería en los ordenadores infectados se lanzarlo y proporcionar detalles de su propia bitcoin o carteras Zcash. Después de eso, el beneficio "minería moneda" creado por la piscina será acreditado a las direcciones de los ciberdelincuentes, desde donde puede ser retirada y cambiada por dólares estadounidenses u otras cryptocurrencies. Esto es lo que nos permite 'Snoop' en algunas de las carteras utilizadas por los ciberdelincuentes. Aquí es sólo un ejemplo:

Uso de la dirección de una billetera, podemos descubrir cómo llegó mucho dinero y de qué fuente (es decir, la piscina de la minería) (https://explorer.zcha.in/accounts/t1eVeeBYfPPLgonvi1zk8e9SnrhZdoCBAeM)

Vemos que la dirección fue creado el 31 de octubre, sólo un par de días después de Zcash puso en marcha, y los pagos aún se están haciendo para que en el momento actual. Usted se estará preguntando qué pasó con el anonimato prometido. En realidad, hay dos tipos de carteras en Zcash: completamente monederos privadas (z-dirección) y monederos públicos como el que se muestra arriba (t-dirección). En el momento actual, las carteras completamente privados no son muy populares (que no son compatibles con los intercambios), y sólo se utilizan para almacenar alrededor del 1% de todas las monedas Zcash existentes.

Nos encontramos cerca de 1.000 usuarios únicos que tienen alguna versión de la minera Zcash instalado en sus equipos con un nombre diferente, lo que sugiere que estos equipos fueron infectados sin el conocimiento de sus propietarios. Una computadora promedio puede extraer unos 20 hashes por segundo; un millar de ordenadores infectados pueden extraer unos 20.000 hashes un segundo. A los precios actuales, que equivale a alrededor $ 6200 al mes, o $ 75.000 al año en las ganancias netas.

Éstos son sólo algunos ejemplos de la vida real de los nombres utilizados por estos programas y en los que se instalan en los ordenadores infectados:

diskmngr.exe 
mssys.exe 
C: \ system \ Taskmngr.exe 
system.exe 
nsdiag.exe 
Taskmngr.exe 
svchost.exe 
C: \ Users \ [nombre de usuario] \ AppData \ Roaming \ metadatos \ mdls \ windlw \ mDir_r \ rhost.exe 
qzwzfx.exe 
C: \ Users \ [nombre de usuario] \ AppData \ local \ temp \ ACarpeta \ mscor.exe 
C: \ archivos de programa \ archivos comunes \ nheqminer64.exe 
C: \ Windows \ Logs \ Logsfiles64 \ conhost.exe 
apupd.exe

Como se puede ver, los nombres de muchos programas de minería coinciden con los de las aplicaciones legítimas, pero la ubicación de la instalación es diferente. Por ejemplo, la aplicación Administrador de tareas de Windows legítimo (Taskmngr.exe) debe estar ubicado en la carpeta de sistema C: \ Windows \ System32 y no en C: \ system.

Para asegurar que el programa de minería se ejecute cada vez que se inicia el sistema operativo, se añaden los registros necesarios ya sea para el programador de tareas o las teclas de ejecución automática del registro. Estos son algunos ejemplos de estos registros:

Programador de tareas \ Microsoft \ Windows Defender \ Mina 
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ Miner

Un par de sitios web que distribuyen programas detectados mineras:

http: [.] // execsuccessnow com / wp-includes / m / nheqminer.exe 
https: [.] //a.pomf cat / qzwzfx.exe

Se requieren DLL adicionales para el programa de minería de trabajar. Estos archivos DLL, que se muestran a continuación, se instalan junto con el programa de minería.

cpu_tromp_AVX.dll 
cpu_tromp_SSE2.dll 
cudart64_80.dll 
cuda_tromp.dll 
logsetuplib.dll 
msvcp120.dll 
msvcr120.dll

Así que, ¿cuáles son las amenazas que enfrenta un usuario que no es consciente de que su equipo está siendo utilizado para la minería criptomoneda?

En primer lugar, estas operaciones están hambrientos de poder: el equipo utiliza una gran cantidad más electricidad, que, en algunos países, podría significar que el usuario termina con una factura de la luz fuerte.

En segundo lugar, un programa de minería normalmente devora hasta el 90% de la RAM del sistema, lo que ralentiza drásticamente tanto el sistema operativo y otras aplicaciones que se ejecutan en el equipo. No es exactamente lo que quiere de su equipo.

Fuente: https: //securelist.com/

CONOCIMIENTO pertenece al mundo