diciembre 9, 2022

Cuidado con el falso MSI Afterburner que instala cryptojacking y malware para robar información

En breve: Si recientemente descargó MSI Afterburner, puede ser prudente revisar su sistema en busca de software malicioso. Los investigadores descubrieron que una gran cantidad de sitios web se hacían pasar por el sitio web oficial de MSI para engañar a los usuarios para que descargaran malware junto con la herramienta de overclocking.

Cyble Intelligence and Research Lab (CRIL) descubrió varias campañas de phishing que usaban MSI Afterburner para entregar malware de encriptación XMR (Monero) y robo de información a través de más de 50 sitios web de réplicas falsas.

MSI Afterburner es una utilidad gratuita que le permite hacer overclocking, monitorear, comparar y capturar video. Funciona en todas las tarjetas gráficas, lo que lo hace muy popular para aquellos que buscan exprimir cada gota de su GPU. Puedes descargarlo fácilmente aquí.

Pero esa popularidad ha hecho que los ciberdelincuentes recurran a MSI Afterburner como una forma de distribuir malware. CRIL escribe que las campañas involucran correos electrónicos de phishing, anuncios en línea y varios otros medios para difundir enlaces de sitios web falsos. Algunos de los nombres de dominio incluyen msi-afterburner-download.site, msi-afterburner.download y mslafterburners.com.

Cualquiera que descargue y ejecute el archivo de instalación falso de MSI Afterburner encontrará que la versión real del software está instalada. Sin embargo, el instalador también agrega malware de robo de información RedLine y un minero XMR al dispositivo.

Al igual que con otro malware de cryptojacking, el minero, que se conecta a un grupo de minería para minar Monero usando un nombre de usuario y una contraseña encriptados, consume una gran cantidad de recursos del sistema, lo que afecta gravemente el rendimiento. Bleeping Computer escribe que el minero se activa solo 60 minutos después de que la CPU entra en inactividad, por lo que la computadora no está ejecutando programas que consumen muchos recursos. También significa que el dispositivo probablemente se ha dejado desatendido.

Mientras esto sucede, RedLine Stealer se ejecuta en segundo plano y roba contraseñas, cookies, información del navegador y (potencialmente) carteras de criptomonedas.

Peor aún, los elementos maliciosos de la campaña solo son detectados por un puñado de programas antivirus, por lo que descubrir que ha sido infectado puede no ser tan fácil como ejecutar una herramienta de seguridad.

Esta no es la primera vez que se utiliza Afterburner para distribuir programas maliciosos. El año pasado, MSI advirtió a las personas que no visitaran un duplicado pirateado de su sitio web oficial, que contenía software cargado de malware disfrazado de aplicación de overclocking.

Enlace permanente a la historia.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *