Software malicioso BOINC

Proteger los dispositivos contra amenazas de malware es crucial para mantener tanto la seguridad como la funcionalidad. Recientemente, los ciberdelincuentes han explotado BOINC (Berkeley Open Infrastructure for Network Computing), una utilidad legítima para proyectos de computación distribuida, para ejecutar actividades amenazantes en sistemas infectados. Tenga en cuenta que esto no es una vulnerabilidad en BOINC en sí; en cambio, el malware instala ilegalmente BOINC para llevar a cabo sus operaciones.

Instalación y ejecución

El malware carga BOINC en los dispositivos de los usuarios sin consentimiento utilizando una carga útil de terceros. Este método evita los procesos de instalación típicos, lo que garantiza que BOINC se instale subrepticiamente. Los archivos binarios utilizados se toman directamente del instalador oficial BOINC 8.0.2, aunque el instalador en sí no se emplea directamente en el proceso de instalación.

Operaciones amenazantes

Tras la instalación, el malware inicia varias actividades inseguras:

• Creación de un usuario oculto de Windows : hay informes no confirmados de la creación de un usuario oculto de Windows, lo que podría facilitar un mayor acceso no autorizado.
• Instalación del servicio : el software dañino se instala como un servicio en los sistemas infectados, aunque actualmente no se revelan detalles específicos, como el nombre del servicio.
• Distribución de archivos : se descargan varias copias de BOINC en la carpeta 'C:\USERNAME\AppData\Roaming' y sus subcarpetas, extendiendo su presencia por todo el sistema.
• Cambio de nombre de ejecutables : los ejecutables del cliente BOINC se renombran a nombres de procesos comunes del sistema como '.exe', 'gupdate.exe', 'SecurityHealthService.exe' y 'trustedinstaller.exe'. Este disfraz tiene como objetivo evadir la detección y mezclarse con procesos legítimos.
• Creación de un servidor falso : se ha informado de un servidor BOINC falso que se parece al servidor Rosetta@home legítimo. Aunque su nombre no se divulga por razones de seguridad, este servidor imita un proyecto legítimo para potencialmente engañar a los usuarios y realizar acciones no autorizadas.

Distribución e Impacto

El método de distribución de este malware aún no está claro, y las víctimas especulan que podría estar vinculado a conexiones a redes Wi-Fi públicas. La campaña parece estar dirigida específicamente a usuarios de Estados Unidos y afecta a aproximadamente 7.000 dispositivos Windows, según informa el servidor del proyecto falso.

Consejos de mitigación y eliminación

Los investigadores sugieren los siguientes pasos para mitigar el impacto de este malware:

• Limpieza del Programador de tareas : verifique y elimine cualquier entrada en el Programador de tareas que ejecute código desde la carpeta 'Roaming'. Estas entradas pueden aparecer disfrazadas de procesos legítimos, como actualizaciones de Mozilla o Google, o pueden consistir simplemente en un guión bajo seguido de números.
• Eliminación de archivos : elimine todos los archivos no deseados almacenados en la carpeta 'Roaming' y sus subcarpetas. Es posible que los usuarios necesiten finalizar procesos utilizando el 'Administrador de tareas' para garantizar que todos los archivos no seguros se puedan eliminar de forma segura.

Al tomar estas precauciones y permanecer atentos a actividades e instalaciones sospechosas, los usuarios pueden ayudar a proteger sus dispositivos de los impactos de software amenazante como el malware BOINC.