Programari maliciós BOINC

La protecció dels dispositius de les amenaces de programari maliciós és crucial per mantenir la seguretat i la funcionalitat. Recentment, els ciberdelinqüents han explotat BOINC (Berkeley Open Infrastructure for Network Computing), una utilitat legítima per a projectes d'informàtica distribuïda, per executar activitats amenaçadores en sistemes infectats. Tingueu en compte que aquesta no és una vulnerabilitat en el mateix BOINC; en canvi, el programari maliciós instal·la il·legalment BOINC per dur a terme les seves operacions.

Instal·lació i execució

El programari maliciós carrega BOINC als dispositius dels usuaris sense consentiment mitjançant una càrrega útil de tercers. Aquest mètode evita els processos d'instal·lació típics, assegurant que BOINC s'instal·la de manera subrepticia. Els binaris utilitzats s'han extret directament de l'instal·lador oficial de BOINC 8.0.2, tot i que l'instal·lador en si no s'utilitza directament en el procés d'instal·lació.

Operacions amenaçadores

Després de la instal·lació, el programari maliciós inicia diverses activitats insegures:

• Creació d'un usuari ocult de Windows : hi ha informes no confirmats de la creació d'un usuari ocult de Windows, cosa que podria facilitar l'accés no autoritzat.
• Instal·lació del servei : el programari nociu s'instal·la com a servei als sistemes infectats, tot i que actualment no es desvelen detalls específics, com ara el nom del servei.
• Distribució de fitxers : es descarreguen diverses còpies de BOINC a la carpeta "C:\USERNAME\AppData\Roaming" i les seves subcarpetes, estenent-ne la presència a tot el sistema.
• Canvi de nom de l'executable : els executables de client BOINC es canvien de nom amb noms de processos del sistema habituals, com ara ".exe", "gupdate.exe", "SecurityHealthService.exe" i "trustedinstaller.exe". Aquesta disfressa pretén evadir la detecció i combinar-se amb processos legítims.
• Creació d'un servidor fals : s'ha informat d'un servidor BOINC fals que s'assembla al servidor legítim de Rosetta@home. Tot i que el seu nom no es revela per motius de seguretat, aquest servidor imita un projecte legítim per enganyar els usuaris i realitzar accions no autoritzades.

Distribució i impacte

El mètode de distribució d'aquest programari maliciós encara no està clar, i les víctimes especulen que podria estar relacionat amb connexions a xarxes Wi-Fi públiques. Sembla que la campanya s'adreça específicament als usuaris dels Estats Units, afectant aproximadament 7.000 dispositius Windows, segons informa el servidor del projecte fals.

Consells de mitigació i eliminació

Els investigadors suggereixen els passos següents per mitigar l'impacte d'aquest programari maliciós:

• Neteja del programador de tasques : comproveu i elimineu qualsevol entrada del programador de tasques que executi codi de la carpeta "Roaming". Aquestes entrades poden semblar disfressades com a processos legítims, com ara les actualitzacions de Mozilla o Google, o poden consistir simplement en un guió baix seguit de números.
• Supressió de fitxers : suprimiu tots els fitxers no desitjats emmagatzemats a la carpeta "Roaming" i les seves subcarpetes. És possible que els usuaris hagin de finalitzar els processos mitjançant el "Gestor de tasques" per garantir que tots els fitxers no segurs es puguin suprimir de manera segura.

Si prenen aquestes precaucions i es manté vigilant contra activitats i instal·lacions sospitoses, els usuaris poden ajudar a protegir els seus dispositius dels impactes de programari amenaçador com el programari maliciós BOINC.