El ‘boom’ de las criptomonedas propició que los hackers viesen en las divisas virtuales una atractiva fuente de ingresos. Su valor estaba en constante crecimiento, así que parecía una apuesta sobre seguro para ellos. De ahí la proliferación de malware de minado y de ransomware. Ahora las aguas se han calmado, pero siguen apareciendo amenazas que tratan de poner nuestros ordenadores a minar con el navegador web. La última es FileTour, y es capaz de poner nuestra CPU a trabajar incluso cuando el navegador web no está en ejecución.

La amenaza en cuestión, FileTour, se está distribuyendo principalmente en cracks, keygens y otras herramientas ideadas para saltarse la seguridad de juegos y software para ordenador. Además, también se encuentra en otras herramientas como adware, troyanos y un largo etcétera. En su aspecto más básico es otro malware más diseñado para minar criptomoneda con nuestra CPU –a través del navegador web- y en beneficio de terceros. Sin embargo, tiene algunas diferencias importantes como que, como ya comentábamos, es capaz de llevar a cabo estas tareas incluso cuando ya hemos cerrado el navegador web. Así, y con otras técnicas, se evita que el usuario afectado pueda percibir el ataque.

Así funciona FileTour: un nuevo malware de minado de criptomoneda que usa tu CPU incluso con la ventana del navegador cerrada

FileTour, en su última versión, lanza a Google Chrome una instancia de forma automática para generar una conexión con una web remota. Es desde esta web, cuando se carga, desde donde se lanza el script de minado de criptomoneda. En este sentido funciona igual que cualquier otro malware de criptomoneda servidor a través del navegador web, sin mostrar signo alguno para el usuario. Lo único notable es que el rendimiento del ordenador se puede ver afectado de manera negativa, y que en el Administrador de Tareas de Windows es posible ver la atípica carga de trabajo sobre la CPU del ordenador.

Ahora bien, este script de CoinCube se carga de una forma algo singular. En un plano secundario, pero además ocultando el origen. Si se intenta acceder de forma manual a la página web que carga el malware, entonces se abre una copia de CloudFlare con un código captcha para comprobar la identidad del visitante. Entrando así, de forma manual, no se carga absolutamente nada porque existen dependencias en el ‘acceso’ con el malware.