Desde mediados de abril, algunos archivos de películas piratas en sitios web de torrents incorporan una variante de malware que ciberdelincuentes están utilizando para hurtar capacidad de cómputo de computadoras infectadas, con el fin de minar criptodivisas, actividad conocida como criptojacking.
Según Microsoft, miles de usuarios están descargando archivos pirateados de “John Wick 3” y de títulos en español como “Puñales por la Espalda” y “Contagio”, una versión doblada al español de la película “Contagion” de Steven Soderbergh con temática pandémica.
“Mucha gente se encuentra atrapada en casa buscando cómo llenar el tiempo, y no todos se limitan a ver lo que hay disponible a través de los servicios de streaming”, dijo Tanmay Ganacharya, director de investigación de seguridad de Microsoft Threat Protection. “Los atacantes usan algunas películas populares como señuelo. Y luego procuran que su carga útil maligna forme parte de los paquetes que el usuario termina descargando”.
“Contagion”, lanzada en 2011, ha aumentado su popularidad debido al parecido de la trama con la propagación en el mundo real del Covid-19.
Windows Defender, el programa antivirus de Microsoft, protege a los usuarios del malware, añadió Ganacharya. Los nombres de los archivos malignos incluyen “contagio-1080p”, “John_Wick_3_Parabellum”, “Punales_por_la_espalda_BluRay_1080p”, y “La_hija_de_un_ladron” y “lo-dejo-cuando-quiera”, según Microsoft.
Según la empresa, se está investigando el origen del ataque. Los archivos de películas malignas no parecen estar circulando en sitios web de torrents especialmente populares como Pirate Bay, dijo Ganacharya. En lugar de ello, los atacantes se han centrado especialmente en la distribución de su malware en España, donde se produjeron la mayoría de las infecciones, y luego en países de habla hispana como México y Chile.
En otras palabras, los delincuentes no parecen tener como objetivo a los piratas de películas de EE.UU., Europa o Asia con esta técnica.
Si bien los atacantes han insertado malware en el ecosistema de la piratería en el pasado, este ataque se basa en técnicas más sigilosas para tratar de infiltrarse en las máquinas de Windows.
Un ataque típico comienza con los hackers ocultando un archivo maligno en la misma carpeta .zip que incluye un torrent de película. Cuando una víctima abre un archivo .zip descargado desde un sitio de piratería, también activa un VBScript maligno disfrazado como archivo de texto. Ese VBScript utiliza entonces BITSAdmin, un protocolo legítimo de Microsoft, para descargar un componente de segunda etapa, y luego intenta inyectar un código de minería de monedas en la memoria del PC.
“La minería sería eterna”, dijo Ganacharya. “Este tipo de intrusión no es tan evidente como el ransomware. El usuario ni siquiera se percata, a menos que de alguna manera compruebe por qué su PC empezó a funcionar más despacio”.
