XiaoBa, el ransomware modificado que mina criptomonedas y elimina archivos

Investigadores de seguridad de la firma Trend Micro descubrieron que un grupo de hackers modificó el ransomware XiaoBa. ¿La intención? Incorporarle el código de Coinhive para, así, poder minar criptomonedas al inyectarlo en los archivos HTM y HTML de los equipos vulnerados por el ataque.

Antes de esta variación, XiaoBa solo se dedicaba a encriptar archivos y mantenerlos secuestrados hasta que el usuario pagara el rescate a los hackers. Ahora la amenaza es mucho más peligrosa. Coinhive, que es un componente basado en JavaScript, utiliza los recursos de hardware de la PC para extraer criptomonedas, disminuyendo el rendimiento del ordenador en el proceso.

La minería con Coinhive, por lo general, termina cuando el usuario abandona el sitio web. No obstante, también se ha dado el caso que el elemento se mantiene en algunas extensiones de navegador, haciendo casi imposible escapar de sus acciones mientras el usuario navega en Internet.

Esta nueva variante del malware XiaoBa, además, se comporta diferente en el sentido que ahora se propaga de un ordenador a otro conectado a una red local, generando mayores ganancias a los hackers. Lo peor, sin embargo, es que ahora también se eliminan archivos del sistema, infectando en primer lugar los archivos binarios legítimos (exe, scr, com, pif) y destruyéndolos durante el proceso.

Según Trend Micro, XiaoBa infecta archivos de cualquier tamaño que, a su vez, afectan al mismo ordenador, estancándolo porque los recursos del sistema se consumen por la minería y las infecciones que consumen una gran cantidad de espacio de almacenamiento. El malware se propaga principalmente vía correo electrónico y estafas en redes sociales.