Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Mal/Miner-C usa i PC infetti per minare crypto-moneta
Il malware sfrutta la potenza di calcolo delle macchine infette per ottenere moneta virtuale e si diffonde infettando le cartelle sui NAS che agiscono come server FTP.
L’idea di usare i computer infetti per “minare” Bitcoin non è nuova ed è stata usata, nel recente passato, già da malware come Linux.Lady. La nuova versione di Mal/Miner, però, ha introdotto alcuni elementi di novità e portato la tecnica a un livello decisamente più raffinato.
A spiegarlo in un dettagliato report è Attila Marosi, un ricercatore di Sophos che ha passato ai raggi X il malware. La prima particolarità segnalata da Marosi riguarda la scelta di non rivolgersi alla produzione di Bitcoin, per i quali le operazioni di mining sono ormai decisamente troppo impegnative, ma a una crypto-valuta alternativa chiamata Monero, le cui monete sono chiamate XMR.
Rispetto ai più conosciuti e diffusi Bitcoin, che sono progettati in modo che col tempo siano sempre più difficili da “minare” attraverso l’uso della potenza di calcolo del computer, Monero è ancora piuttosto accessibile. L’uso di un malware per ottenere XMR sfruttando i computer altrui, quindi, consente un margine di guadagno piuttosto significativo.
Per ottimizzare l’uso dei computer infetti, il codice del malware contiene ben tre miner (i software per “estrarre” gli XMR) diversi: uno dedicato alle macchine con CPU a 32 bit, uno per quelle a 64 bit e un terzo per l’utilizzo della GPU, che garantisce risultati migliori sfruttando il calcolo parallelo.
Il malware contiene ben 3 miner per ottenere XMR
Le particolarità di Mal/Miner-C, però, non finiscono qui. Il malware, infatti, usa un sistema di diffusione decisamente originale: si comporta come un worm, cercando di diffondersi su tutte le macchine che riesce a raggiungere via Internet.
Questo compito è affidato a un eseguibile chiamato tftp.exe, che ha il compito di tentare di accedere a server FTP aperti o vulnerabili per diffondere Mal/Miner-C. Il processo, in pratica, tenta il collegamento a indirizzi IP generati casualmente, utilizzando per l’accesso un elenco di username e password del tipo “admin”, “root” e simili.
Se individua un server FTP accessibile, inserisce una copia di Mal/Miner-C in tutte le cartelle che riesce a raggiungere. La tecnica per indurre la potenziale vittima ad aprire il file è un classico stratagemma da “vecchia scuola”.
Il malware viene infatti memorizzato all’interno di una cartella chiamata Photos. Il file eseguibile, chiamato Photo.scr, è stato inoltre “camuffato” abbinandolo a un’icona che somiglia terribilmente a quella delle cartelle di Windows.
Considerato che molti utenti non modificano l’opzione che nasconde automaticamente le estensioni nei nomi dei file, ci sono buone probabilità che qualcuno faccia doppio clic su quella che sembra solo una cartella tra tante.
E il trucco, a quanto pare, funziona. Per il momento, Marosi è stato in grado di individuare 3,150 macchine (identificate attraverso l’indirizzo IP) su cui è attivo il malware.
I bersagli più vulnerabili per questa originale strategia di diffusione sono i NAS, le cui funzioni FTP vengono spesso utilizzate senza modificare le configurazioni predefinite, lasciando inalterate la username e password originali. Tra tutti, però, Marosi ha individuato quella che sembra una vera vittima predestinata: si tratta del Seagate Central.
Il dispositivo, infatti, ha una funzione che consente lo streaming di contenuti multimediali via Internet. Per utilizzare la funzione di streaming, in sintesi, gli utenti devono usare una cartella pubblica e attivare la modalità remota. In queste condizioni, però, la cartella pubblica è accessibile via FTP a chiunque, anche in modalità anonima.
A causa delle sue caratteristiche, il Seagate Central è la vittima perfetta.
Chi ha impostato il dispositivo in questo modo, di conseguenza, si ritrova in una situazione che lo rende particolarmente vulnerabile a questo tipo di attacco.
Stando a quanto riportato da Attila Marosi, le sue ricerche su Internet hanno confermato che buona parte dei Seagate Central connessi alla Rete contengono il famigerato file Photo.scr.
Ma quanto rende la botnet creata dagli autori di Mal/Miner-C? Il ricercatore ha ricostruito anche questo aspetto. Dopo essere risalito ai wallet utilizzati dai pirati, infatti, ha potuto fare qualche calcolo.
Il sistema, con le dimensioni attuali, permette ai cyber-criminali di “minare” 327,7 XMR al giorno. Al cambio attuale (1,3 euro per XMR) sono la rispettabile somma di 428 euro al giorno. Una bella “paghetta”, considerato che a lavorare sono i computer di qualcun altro.
I problemi, però, potrebbero non finire qui. Secondo Marosi, infatti, Mal/Miner-C ha un sistema di aggiornamento che permetterebbe ai suoi autori di scaricare e installare moduli aggiuntivi sui computer infetti. Questo aprirebbe la strada a nuovi attacchi utilizzando, per esempio, dei ransomware per colpire i PC compromessi.
Condividi l'articolo
Ennesimo buco in MySQL, ma niente patch da Oracle prima di ottobre
Nuove vulnerabilità Android e le patch sono solo per pochi
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
