10.000 computadoras están infectadas con Prometei, un malware que mina Monero

El equipo de investigación de Cisco detectó que el malware tiene la capacidad de actualizarse reduciendo la detección por los antivirus.

El virus actúa como una botnet, que captura una red de computadoras para uso del atacante.
El virus afecta tanto equipos Windows como Linux.

El virus Prometei ha afectado a más de 10.000 computadoras utilizadas para minar Monero de forma involuntaria desde noviembre de 2022, según contabiliza la firma Cisco.

Talos, la división de inteligencia de investigación y seguridad de Cisco, presentó un informe sobre el botnet Prometei, y cómo este ha evolucionado desde su primera detección en 2020.

A diferencia de un virus tradicional, un botnet es un virus que tiene como objetivo afectar a un grupo de computadoras. Su función no es inhabilitar el uso del equipo infectado, sino que el atacante pueda controlar los recursos del mismo. En el caso de Prometei, la red de computadoras infectadas es utilizadas para minar XMR.

Según el informe, del total de equipos infectados, estos se encuentran distribuidos alrededor de 150 países, siendo Estados Unidos, Brasil y China, quienes presentaron mayor afectación. No obstante, señalan que el país menos afectado en Rusia, concluyendo que el conflicto ruso-ucraniano ha tenido influencia sobre la propagación de este malware, porque Rusia ha sido excluida de la red TOR.

Utilizando los comandos de Powershell en Windows, los hackers pueden activar y desactivar la minería de Monero en los dispositivos de forma remota. Fuente: Talos Intelligence.

La investigación resaltó que Prometei logra saltarse las medidas de seguridad de Windows y Linux, adquiriendo permisos de administrador, pudiendo así controlar los recursos de la PC.

A diferencia de otros virus, los desarrolladores de Prometei han incluido un sistema de actualización de su software a través de un servidor remoto. Esto tiene como resultado mayor dificultad por parte de los antivirus para detectar este malware.

La afectación del equipo puede tener múltiples origines, como archivos .zip maliciosos, o descargas involuntarias de sitios web infectados, incluso vía e-mail.

Por qué los malware de minería prefieren utilizar monero

En la práctica, un malware de minería puede minar cualquier criptomoneda (siempre que los recursos de la computadora afectada lo permitan). Sin embargo, dado que el objetivo de los criminales es no ser detectados, Monero (XMR) resulta ser la opción más llamativa.

La red de Monero permite el intercambio de valor sin rastreo. Cada XMR que se envía en la red, puede ser visualizado dentro de su blockchain, sin embargo, es imposible conocer el origen o destinario de estos fondos. Por lo que puede resultar conveniente para la actividad criminal.

En el pasado, otros malwares del tipo botnet han sido detectados, como fue el caso de VictoryGate, reportado por CriptoNoticias, que efecto a más de 30.000 dispositivos, solo en Perú, y era también utilizado para minar XMR.

Un equipo infectado con Prometei o cualquier otro virus de esta naturaleza, por lo general tendrá un exceso en el consumo de recursos, bien sea CPU o GPU y que puede ser observado desde el administrador de tareas. Por lo que, si bien se podrá seguir utilizando el equipo, este se ralentizará, debido a que gran parte de los recursos están siendo utilizado para la minería involuntaria.