Los jugadores y usuarios avanzados de equipos con Windows están siendo víctimas de ataques con portales de descarga falsos de MSI Afterburner. Los cibermalos los están usando como cebo para infectar sus ordenadores con mineros de criptomonedas y el malware de robo de información RedLine.
MSI Afterburner es un software bastante popular que se usa como utilidad de la GPU. Sirve para cosas como crear perfiles de ventiladores, monitorizar la temperatura de las tarjetas gráficas instaladas, realizar capturas de vídeo o configurar el overclocking.
Aunque dicha herramienta fue ideada por MSI, en realidad puede ser utilizada por usuarios de, prácticamente, cualquier tarjeta gráfica. Su mayor ventaja es que permite llevar un control del hardware en tiempo real y hacer que las GPU sean más silenciosas y no se calienten tanto.
El hecho de que sea tan popular la ha puesto en el punto de mira de los cibermalos. Los actores de amenazas buscan aprovechar toda la 'potencia de fuego' de equipos de mayor rendimiento usándolos para minar criptomonedas.
La infección funciona da de la siguiente manera: una vez se ejecuta el archivo de instalación malicioso de MSI Afterburner que se ha descargado de una de estas páginas se llega a instalar el programa legítimo.
Sin embargo, el instalador también llega a descargarse y ejecutar de forma silenciosa el malware de robo de informacón RedLine y un minero XMR en el dispositivo que ha sido comprometido. Este último se conecta a un grupo de minería usando el nombre de usuario y la contraseña codificados y luego recopila y extrae los datos básicos del sistema para los actores de amenazas.
El minero está configurado para obtener toda la potencia de la CPU disponible, llevando al equipo al límite para que mine criptoactivos en la sombra.
Webs falsas que no dejan de brotar
En un informe Cyble recoge que en los últimos tres meses han aparecido medio centenar de páginas web que se hacen pasar por el sitio oficial de MSI Afterburner.
La campaña está bien orquestada y usa nombres de dominio con bastante sentido, que pueden llevar a equívoco a los jugadores y que son más fáciles de promocionar a través de técnicas de BlackSEO.
No obstante, también hay dominios que no se parecen a la marca MSI y que seguramente se hayan promocionado mediante mensajes directos, foros y publicaciones en redes sociales, según recoge BlackEthicalHacking.