Los cibercriminales no siempre son expertos; a veces basta con el conocimiento básico y un teclado para orquestar ataques efectivos.
¿Qué es Frankenstein y por qué es una amenaza?
Recientemente, se identificó en Pastebin un nuevo tipo de amenaza de criptojacking, bautizada como “Frankenstein” debido a su peculiar composición: un “código monstruo” creado mediante copias y pegues de scripts y funciones sin mucha cohesión. Aunque su código no es sofisticado, esta amenaza se ha convertido en una forma eficaz de realizar minería de criptomonedas sin el permiso de los usuarios, poniendo en riesgo tanto a sistemas personales como empresariales.
¿Cómo actúa el criptojacker? La historia de dos scripts
El malware Frankenstein funciona a través de dos scripts clave que colaboran para desplegar XMRig, un conocido minero de criptomonedas. Uno de estos scripts, llamado mr.sh, es un código desordenado, con líneas repetitivas, redundancias, e incluso errores tipográficos. Sin embargo, su objetivo es claro: eliminar cualquier competencia en la máquina para asegurar el uso exclusivo de sus recursos. Por otro lado, 2mr.sh, el segundo script, demuestra una estructura más profesional, implementando una lógica clara y organizada que contrasta fuertemente con el caos de mr.sh. Este último archivo instala el XMRig y una biblioteca llamada 1.so, diseñada para ocultar el proceso de minería del sistema.
El origen del código: ¿diferentes autores?
La diferencia de calidad entre ambos scripts sugiere que 2mr.sh fue creado por un grupo distinto, probablemente con mayor conocimiento técnico, mientras que mr.sh parece haber sido modificado y extendido a partir de fragmentos de código copiados de múltiples fuentes en internet. Este uso del “copia-pega” refleja la naturaleza desorganizada del ataque y demuestra que no siempre se necesita ser un experto para crear una amenaza funcional.
Lecciones de ciberseguridad: simplicidad que cuesta caro
Este caso ilustra que no todos los ciberataques son complejos o altamente desarrollados; a menudo, los cibercriminales aprovechan herramientas básicas y la falta de medidas de seguridad adecuadas en los sistemas. La aparición de este malware “Frankenstein” resalta la importancia de contar con prácticas sólidas de ciberseguridad, como la detección de procesos anómalos y la restricción de permisos, especialmente en entornos Linux, donde este malware se camufla.
Conclusión: una amenaza simple pero letal
El criptojacking de Frankenstein demuestra que incluso los ataques con “código monstruo” pueden lograr su objetivo. Si bien los cibercriminales que están detrás de esta amenaza pueden no ser expertos, su habilidad para ensamblar código de forma rápida y aprovecharse de recursos en línea resalta la necesidad de estar atentos a todas las posibles amenazas, por simples que parezcan.