Con buena parte de la población confinada en sus casas, no es extraño que muchos usuarios busquen matar el tiempo de la mejor forma posible. Eso explica el notable incremento de uso que han experimentado servicios de streaming como Netflix, HBO, Amazon Prime Video o Disney+, pero también otras webs de descarga que ofertan este contenido de manera gratuita aunque a veces esto sea a costa de la seguridad del dispositivo usado.
Descarga de películas como cebo
No es la primera vez que vemos cómo los delincuentes utilizan las series y películas como gancho para atraer a los usuarios y engañarlos para descargar archivos maliciosos. De hecho, es una práctica bastante común y, en según que webs nos metamos, hemos de ir con pies de plomo esquivando banners, enlaces trampa y revisando con cuidado qué es lo que estamos descargando para no caer en la trampa.
En la situación actual, entraba dentro de lo previsible que los delincuentes intentasen aprovecharse de ese incremento en el consumo de contenido audiovisual de fuentes no oficiales para propagar sus amenazas. Es por eso que, según informan desde Microsoft, no deberíamos extrañarnos al observar campañas de propagación de mineros de criptomonedas que se incluyen en archivos zip comprimidos haciéndose pasar por películas para descargar.
Se ha comprobado que esta campaña está especialmente dirigida a usuarios españoles, aunque también afectaría a algunos países de Latinoamérica. Entre las películas usadas como gancho estarían blockbusters recientes de Hollywood con nombres de archivo como “John_Wick_3_Parabellum” o “Punales_por_la_espalda_BluRay_1080p”, películas españolas como “La_hija_de_un_ladron” o “Lo-dejo-cuando-quiera” u otras muy apropiadas por la situación actual como “contagio-1080p”.
Código VBScript para instalar un criptominero
Como ya hemos indicado, quien descargue una de estas supuestas películas e intente reproducirla, comprobará que lo que se inicia en realidad es un script en Visual Basic que ejecutará una línea de comandos para, usando el servicio BITSAdmin, descargar más componentes. Esto incluye un script en AutoIT que activa la segunda fase en la forma de una librería DLL ejecutándose en memoria para inyectar el código del minero dentro del proceso Notepad.exe, mediante la técnica conocida como process hollowing.
La detección y bloqueo de este tipo de ataques puede prevenirse con soluciones de seguridad que dispongan de protección basada en el análisis del comportamiento y en el análisis de la memoria.
En lo que respecta al origen de esta campaña, aún está por determinar, ya que hay varios aspectos bastante característicos. El primero de ellos es que esté tan centrado en usuarios españoles, aunque no se descarta que se amplíen sus objetivos. También resulta curioso que los archivos maliciosos que se hacen pasar por películas no se estén distribuyendo por los principales portales de películas, sino en otros secundarios y locales.
Conclusión
Que la gente busque maneras de pasar el tiempo durante el confinamiento es normal, pero hemos de tener cuidado si queremos descargar o ver en streaming películas y series en según que webs. Los delincuentes están al acecho intentando aprovecharse de la situación y, por ese motivo, hemos de extremar las precauciones para no comprometer la seguridad de nuestros dispositivos.