WatchDog Cryptojacking Malware llega a cientos de sistemas Windows

Una campaña masiva de criptojacking que ataca a los usuarios de Windows pasó desapercibida durante más de dos años, generando decenas de miles de dólares en el proceso. Se cree que el malware de criptojacking, conocido como WatchDog, tiene cientos de víctimas y aún está en curso.

El equipo de investigación que descubrió la campaña de criptojacking cree que es el trabajo de un equipo altamente calificado que puede tener otras operaciones lucrativas en marcha.

WatchDog Cryptojacking Malware reclama cientos de víctimas

El malware de criptojacking WatchDog se informó en el blog de Palo Alto Networks .

El equipo de investigación de Palo Alto Networks, conocido como Unidad 42, cree que WatchDog ha comprometido "al menos 476" sistemas que comprenden principalmente instancias en la nube de Windows y NIX y que la campaña ha estado en funcionamiento desde el 27 de enero de 2019.

En ese período de dos años, la campaña de criptojacking ha extraído ilícitamente "al menos 209 Monero (XMR)", con un valor actual de alrededor de 32.000 dólares.

El malware utiliza un conjunto binario de tres partes creado con el lenguaje de programación Go. Cada binario realiza una acción específica en la máquina de la víctima, como asegurarse de que la operación de minería no se cierre o iniciar el programa de minería para empezar. Además, la campaña utiliza múltiples puntos finales y dominios para permanecer ocultos mientras fortalece las posibilidades de que el malware permanezca en línea si se descubre.

Está claro que los operadores de WatchDog son codificadores expertos y han disfrutado de una relativa falta de atención con respecto a sus operaciones mineras. Si bien actualmente no hay indicios de actividad adicional que comprometa la nube (es decir, la captura de credenciales, ID de acceso o claves de gestión de acceso e identidad de la plataforma en la nube), podría haber potencial para un mayor compromiso de la cuenta en la nube.

Palo Alto Networks, entonces, cree que los actores de amenazas podrían hacer la transición a más actividades que comprometan la cuenta en la nube si aún no lo han hecho.

El malware de cripto minería es rentable para los delincuentes

El reciente auge de los mercados de criptomonedas es el entorno perfecto para que prosperen las campañas de criptojacking.

Cuando se lanzó el malware WatchDog en enero de 2019, el precio de Monero languidecía alrededor de $ 50 por moneda. La ganancia de la campaña de criptojacking solo se situaría en aproximadamente $ 10,000 si el precio se hubiera mantenido en ese punto. Recientemente informamos sobre lo rentable que puede ser el malware para las organizaciones criminales, con hallazgos similares con respecto a las campañas de criptojacking.

El malware de criptojacking a menudo utiliza Monero centrado en la privacidad, ya que es realmente imposible de rastrear (a diferencia de Bitcoin, que es pseudoanónimo). Si bien el cryptojacking es una apuesta desde la perspectiva del precio, cualquier ganancia es casi pura ganancia, ya que el malware utiliza el hardware de la víctima para extraer Monero.

Relacionado: Emotet Botnet desconectado tras el esfuerzo policial global

Aún así, el cryptojacking está lejos de ser la forma más rentable de malware. El ransomware sigue siendo uno de los métodos más efectivos para extorsionar a las víctimas y no muestra ningún signo de desaceleración a pesar de los enormes esfuerzos de aplicación de la ley para interrumpir y destruir las redes criminales.