Contar con un pendrive infectado es un riesgo real. Las memorias USB pueden ser objeto de infección si se utilizan en dispositivos que contienen malware, como podría suceder en un ordenador público, por ejemplo. Recientemente, un equipo de investigadores de seguridad de CyberProof ha identificado una nueva campaña maliciosa que emplea pendrives para propagar un malware altamente peligroso. A continuación, te explicamos su funcionamiento y cómo puedes protegerte.
En un informe técnico publicado el 15 de agosto, CyberProof ha alertado sobre esta campaña maliciosa que utiliza el secuestro de órdenes de búsqueda de DLL y PowerShell, gracias a un equipo de analistas de su servicio de MDR (Detección y Respuesta Gestionadas). Esta campaña también ha demostrado ser capaz de eludir diversas medidas de seguridad.
Campaña maliciosa que utiliza memorias USB
El ataque se inicia con un script de Visual Basic que los atacantes incrustan en unidades USB. Cuando la víctima conecta el pendrive y se ejecuta el script, este inicia una cadena de procesos, incluyendo xcopy.exe, para transferir archivos al directorio System32 de Windows. Estos archivos facilitan la carga lateral de una DLL maliciosa que tiene como objetivo descargar un minero de criptomonedas, un tipo de malware que utiliza los recursos del sistema para minar criptodivisas y así generar beneficios para los atacantes.
Después de una investigación más profunda, CyberProof confirmó que el malware implicado estaba relacionado con una cadena de ataque de criptominería (XMRig o Zephyr) previamente reportada.
Los analistas de CyberProof notaron que las tácticas empleadas son similares a un esquema internacional de minería de criptomonedas que fue expuesto por el CERT de Azerbaiyán en octubre de 2024, conocido como Minería Universal. Esta amenaza se ha detectado en varios países europeos, incluida España, así como en Estados Unidos, Australia y diversas naciones asiáticas y africanas.
Para CyberProof, la existencia de una campaña de este tipo, que utiliza memorias USB, a una escala tan global resalta la importancia de cuidar los pendrives y evitar errores. Si un ordenador se ve afectado por un minero de criptomonedas, podría experimentar problemas de funcionamiento, bloqueos, un aumento en el consumo de energía o incluso fallos graves en el hardware.
Evita riesgos
Como usuario, puedes mitigar riesgos siguiendo ciertas medidas en tu día a día que te ayudarán a protegerte ante este tipo de ataques. Uno de los aspectos clave es limitar el uso de memorias USB y cómo las utilizas. Por ejemplo, lugares como bibliotecas, ordenadores de tiendas donde imprimas documentos o equipos informáticos en universidades deben ser considerados con precaución, ya que los sistemas podrían estar infectados y tu pendrive podría contaminarse.
- En Windows 10/11 (Método sencillo):
- Dirígete a ‘Configuración’ > ‘Bluetooth y dispositivos’ > ‘Reproducción automática’.
- Desactiva el interruptor principal ‘Usar la reproducción automática para todos los medios y dispositivos’.
- Para mayor seguridad, en las opciones de ‘Unidad extraíble’, selecciona ‘No realizar ninguna acción’.
- Para usuarios avanzados (Editor de directivas de grupo):
- Pulsa Win+R, escribe gpedit.msc y presiona Enter.
- Navega a ‘Configuración del equipo’ > ‘Plantillas administrativas’ > ‘Componentes de Windows’ > ‘Directivas de reproducción automática’.
- Haz doble clic en ‘Desactivar reproducción automática’, selecciona ‘Habilitada’ y aplica los cambios.
Esta recomendación está en línea con las guías de seguridad de entidades como el Centro Criptológico Nacional (CCN-CERT) de España.
Además, es aconsejable desactivar las funciones de ejecución y reproducción automáticas en todos los sistemas. Esto evitará que un archivo malicioso se ejecute simplemente al conectar una memoria USB. Asimismo, como sugieren desde CyberProof, puedes implementar políticas de control de dispositivos para bloquear la ejecución de archivos no firmados desde memorias USB.
Por otro lado, realizar una revisión continua de tus equipos, asegurarte de que estén actualizados e instalar software de seguridad puede ser muy útil para prevenir una variedad de ataques. Esto no solo se refiere a malware como el de los mineros de criptomonedas, sino a otras amenazas que pueden comprometer tus datos personales y el correcto funcionamiento del sistema.
Consejos para prevenir el malware en pendrives
| Medida Preventiva | Acción Concreta | Nivel de Impacto |
|---|---|---|
| Desactivar Ejecución Automática | Modificar la configuración de ‘Reproducción automática’ en Windows para ‘No realizar ninguna acción’. | Crítico |
| Limitar Uso de USBs | Evitar conectar pendrives de origen desconocido o en equipos públicos no confiables. | Alto |
| Software de Seguridad | Mantener un antivirus actualizado con protección en tiempo real y realizar análisis periódicos. | Alto |
| Actualizaciones del Sistema | Asegurar que Windows y todo el software dispongan de los últimos parches de seguridad. | Medio |
| Políticas de Dispositivos | (Entornos corporativos) Bloquear la ejecución de archivos sin firma digital desde unidades extraíbles. | Crítico |
Si llegas a tener un pendrive infectado, como sugiere Microsoft en su página de ayuda, es fundamental usar un antivirus y realizar un análisis. También se puede considerar el uso de un sistema alternativo, como Linux, así como utilizar la memoria de forma offline, formatearla completamente y, en general, limitar su exposición.
Preguntas frecuentes
¿Cómo sé si tengo un minero de criptomonedas en el sistema?
Tu equipo comenzaría a funcionar de manera más lenta y notarías problemas al realizar tareas cotidianas. También podría emitir más ruido, calentarse más o consumir más energía.
¿Es peligroso tener mineros de criptomonedas ocultos?
Sí, puede afectar gravemente al hardware de tus dispositivos y hacer que dejen de funcionar.
¿Solo afecta a Windows el problema de los mineros de criptomonedas?
No. Aunque esta campaña en particular esté diseñada para Windows, existen otras variantes que pueden afectar a diferentes sistemas operativos.
