ESET ha descubierto una botnet desconocida hasta ahora, llamada VictoryGate, activa al menos desde mayo de 2019 y que se dedicaba a minar la criptomoneda Monero. El 90% de los dispositivos comprometidos por VictoryGate se encontraban en Perú. Entre las víctimas se incluyen empresas públicas y privadas, de las cuales varias son entidades financieras. Gracias a la información recopilada durante la investigación del laboratorio de ESET y compartida con la Fundación Shadowserver, al menos una parte importante de las operaciones de la botnet han sido interrumpidas.
Los investigadores de ESET han conseguido acceder a diferentes dominios que controlaban las actividades de la botnet, reemplazándolos con máquinas que no envían los comandos esperados a los sistemas infectados, sino que solamente monitorizan la actividad. Con estos datos y la telemetría de ESET, se estima que se habrían infectado, al menos, unos 35.000 dispositivos.
El único vector de infección de la botnet era a través de dispositivos extraíbles. “La víctima recibe una unidad de almacenamiento USB que en algún momento se ha conectado a una máquina infectada. Aparentemente tiene todos los archivos originales e iconos que contenía antes de ser infectada, por lo que a primera vista el contenido es el esperado. Sin embargo, los archivos originales han sido reemplazados por una copia del malware”, asegura Alan Warburton, investigador de ESET. “Cuando el usuario intenta abrir uno de los archivos, lo que ocurre es que se abren tanto el archivo como la carga maliciosa”.
ESET también alerta del impacto en los dispositivos de las víctimas: “Se llega a usar entre un 90% y un 99% de los recursos disponibles, lo que provoca que los dispositivos se ralenticen y que haya sobrecalentamientos que pueden provocar daños a la máquina”.
Según el investigador de ESET, VictoryGate ha hecho importantes esfuerzos para no ser detectada, y teniendo en cuenta que los delincuentes detrás de ella pueden actualizar y modificar las funcionalidades de los códigos maliciosos que se descargan y ejecutan en los dispositivos infectados, esto supone un riesgo considerable.
Para aquellos usuarios que piensen que han podido ser infectados por este malware, se puede usar ESET Online Scanner para limpiar el dispositivo de forma gratuita. ESET detecta a VictoryGate como MSIL/VictoryGate.