La amenaza en cuestión, FileTour, se está distribuyendo principalmente en cracks, keygens y otras herramientas ideadas para saltarse la seguridad de juegos y software para ordenador. Además, también se encuentra en otras herramientas como adware, troyanos y un largo etcétera. En su aspecto más básico es otro malware más diseñado para minar criptomoneda con nuestra CPU –a través del navegador web- y en beneficio de terceros. Sin embargo, tiene algunas diferencias importantes como que, como ya comentábamos, es capaz de llevar a cabo estas tareas incluso cuando ya hemos cerrado el navegador web. Así, y con otras técnicas, se evita que el usuario afectado pueda percibir el ataque.
Así funciona FileTour: un nuevo malware de minado de criptomoneda que usa tu CPU incluso con la ventana del navegador cerrada
FileTour, en su última versión, lanza a Google Chrome una instancia de forma automática para generar una conexión con una web remota. Es desde esta web, cuando se carga, desde donde se lanza el script de minado de criptomoneda. En este sentido funciona igual que cualquier otro malware de criptomoneda servidor a través del navegador web, sin mostrar signo alguno para el usuario. Lo único notable es que el rendimiento del ordenador se puede ver afectado de manera negativa, y que en el Administrador de Tareas de Windows es posible ver la atípica carga de trabajo sobre la CPU del ordenador.
Ahora bien, este script de CoinCube se carga de una forma algo singular. En un plano secundario, pero además ocultando el origen. Si se intenta acceder de forma manual a la página web que carga el malware, entonces se abre una copia de CloudFlare con un código captcha para comprobar la identidad del visitante. Entrando así, de forma manual, no se carga absolutamente nada porque existen dependencias en el ‘acceso’ con el malware.
Fuente: bleepingcomputer | adslzone
