Bitdefender, acaba de publicar una nueva investigación sobre una campaña de cryptojacking que se ha descubierto recientemente y que se dirige a usuarios del servicio de almacenamiento de archivos en la nube Microsoft OneDrive. La campaña explota las vulnerabilidades conocidas de carga lateral de DLL en OneDrive para lograr persistencia y ejecutarse sin ser detectada en los dispositivos infectados.
Aunque el objetivo de esta campaña es el cryptojacking, es decir, el secuestro de un dispositivo electrónico sin el conocimiento de su propietario con el fin de aprovechar sus recursos en el minado de criptomonedas, Bitdefender advierte que es posible que estas mismas técnicas se utilicen para la instalación de ransomware y de spyware en el sistema.
Aunque Microsoft no considera que este secuestro/instalación de DLL suponga una vulnerabilidad, es consciente de la existencia de esta campaña y recomienda que los usuarios instalen OneDrive en modo «por máquina», ya que esto evita el acceso sin privilegios a la carpeta de la aplicación.
Por su parte, Bitdefender insta a los usuarios de OneDrive a estar alerta y a que se aseguren de que sus antivirus y sus sistemas operativos estén actualizados, eviten el software crackeado y descarguen software solo de fuentes fiables. En cuanto a las empresas, deberían ir más allá ajustando las soluciones de seguridad para monitorizar la carga lateral de DLL y aplicando indicadores de compromiso (IOC) a sus soluciones de prevención y a las de detección y respuesta (EDR) de sus endpoints.
Bitdefender ha detectado más de 700 instancias de criptohackeo de OneDrive utilizando las vulnerabilidades de carga lateral de DLL durante los pasados meses de mayo y junio. La compañía de ciberseguridad considera que esta campaña aún está activa.
