Se ha identificado un ataque de malware de varias etapas entregados a través de dispositivos USB infectados, lo que plantea preocupaciones sobre la persistencia de las amenazas de criptominización en 2025. Los analistas del equipo de detección y respuesta administrada de Cyberproof (MDR) descubrieron que la campaña utilizó el secuestro de orden de búsqueda de DLL y el poder de PowerShell para pasar por alto los controles de seguridad antes de intentar instalar un criptador. El malware se vinculó a la actividad anterior de Zephyr (XMRIG) y finalmente se bloqueó durante la etapa final mediante herramientas de detección y respuesta de punto final (EDR). El ataque comienza con un script de Visual Basic oculto en las unidades USB. Una vez ejecutado, el script inicia una cadena de procesos, incluido xCopy.exe, para mover archivos al directorio de Windows System32. Luego, estos archivos habilitan la carga lateral de una DLL maliciosa diseñada para descargar el cryptoMiner. Cyberproof señaló que las tácticas se parecen mucho a un esquema internacional de minería de criptomonedas expuesto por el certificado de Azerbaiyán en octubre de 2024, conocido como «minería universal». La investigación de la firma de seguridad rastreó la propagación de la campaña a través de múltiples fuentes de inteligencia y telemetría. Se han observado infecciones en los Estados Unidos, varias naciones europeas, Egipto, India, Kenia, Indonesia, Tailandia, Vietnam, Malasia y Australia. La amplia huella geográfica destaca cómo los medios extraíbles continúan siendo un vector persistente para la distribución de malware en las regiones desarrolladas y en desarrollo. Lea más sobre las tendencias globales del delito cibernético: repensar la resiliencia para la edad del delito cibernético impulsado por la IA «La prevalencia continua de los ataques de criptominación originados de unidades USB infectadas, incluso a mediados de 2015, sirve como un poderoso recordatorio de un desafío de seguridad fundamental», dijo cyberproof. Para reducir la exposición, el informe aconseja a las organizaciones que: Deshabilitar las características de Autorun y Autoplay en todos los sistemas Implementar las políticas de control de dispositivos para bloquear los ejecutables no firmados de USBS Harden Seguridad de punto final con soluciones EDR capaces de detectar scripts de los scripts obfuscados de los procesos de sistema clave como LSASS.exe de los intentos de acreditación de accesorios. Las políticas siguen siendo vulnerables no solo a las infecciones de Cryptominer, sino también a las amenazas internas que pueden aumentar a infracciones más dañinas.