Mal/Miner-C usa i PC infetti per minare crypto-moneta

Set 13, 2016 Marco Schiaffino Attacco non convenzionale, Minacce, News, RSS 0

Il malware sfrutta la potenza di calcolo delle macchine infette per ottenere moneta virtuale e si diffonde infettando le cartelle sui NAS che agiscono come server FTP.

L’idea di usare i computer infetti per “minare” Bitcoin non è nuova ed è stata usata, nel recente passato, già da malware come Linux.Lady. La nuova versione di Mal/Miner, però, ha introdotto alcuni elementi di novità e portato la tecnica a un livello decisamente più raffinato.

A spiegarlo in un dettagliato report è Attila Marosi, un ricercatore di Sophos che ha passato ai raggi X il malware. La prima particolarità segnalata da Marosi riguarda la scelta di non rivolgersi alla produzione di Bitcoin, per i quali le operazioni di mining sono ormai decisamente troppo impegnative, ma a una crypto-valuta alternativa chiamata Monero, le cui monete sono chiamate XMR.

Rispetto ai più conosciuti e diffusi Bitcoin, che sono progettati in modo che col tempo siano sempre più difficili da “minare” attraverso l’uso della potenza di calcolo del computer, Monero è ancora piuttosto accessibile. L’uso di un malware per ottenere XMR sfruttando i computer altrui, quindi, consente un margine di guadagno piuttosto significativo.

Per ottimizzare l’uso dei computer infetti, il codice del malware contiene ben tre miner (i software per “estrarre” gli XMR) diversi: uno dedicato alle macchine con CPU a 32 bit, uno per quelle a 64 bit e un terzo per l’utilizzo della GPU, che garantisce risultati migliori sfruttando il calcolo parallelo.

Il malware contiene ben 3 miner per ottenere XMR

Le particolarità di Mal/Miner-C, però, non finiscono qui. Il malware, infatti, usa un sistema di diffusione decisamente originale: si comporta come un worm, cercando di diffondersi su tutte le macchine che riesce a raggiungere via Internet.

Questo compito è affidato a un eseguibile chiamato tftp.exe, che ha il compito di tentare di accedere a server FTP aperti o vulnerabili per diffondere Mal/Miner-C. Il processo, in pratica, tenta il collegamento a indirizzi IP generati casualmente, utilizzando per l’accesso un elenco di username e password del tipo “admin”, “root” e simili.

Se individua un server FTP accessibile, inserisce una copia di Mal/Miner-C in tutte le cartelle che riesce a raggiungere. La tecnica per indurre la potenziale vittima ad aprire il file è un classico stratagemma da “vecchia scuola”.

Il malware viene infatti memorizzato all’interno di una cartella chiamata Photos. Il file eseguibile, chiamato Photo.scr, è stato inoltre “camuffato” abbinandolo a un’icona che somiglia terribilmente a quella delle cartelle di Windows.

Considerato che molti utenti non modificano l’opzione che nasconde automaticamente le estensioni nei nomi dei file, ci sono buone probabilità che qualcuno faccia doppio clic su quella che sembra solo una cartella tra tante.

E il trucco, a quanto pare, funziona. Per il momento, Marosi è stato in grado di individuare 3,150 macchine (identificate attraverso l’indirizzo IP) su cui è attivo il malware.

I bersagli più vulnerabili per questa originale strategia di diffusione sono i NAS, le cui funzioni FTP vengono spesso utilizzate senza modificare le configurazioni predefinite, lasciando inalterate la username e password originali. Tra tutti, però, Marosi ha individuato quella che sembra una vera vittima predestinata: si tratta del Seagate Central.

Il dispositivo, infatti, ha una funzione che consente lo streaming di contenuti multimediali via Internet. Per utilizzare la funzione di streaming, in sintesi, gli utenti devono usare una cartella pubblica e attivare la modalità remota. In queste condizioni, però, la cartella pubblica è accessibile via FTP a chiunque, anche in modalità anonima.

A causa delle sue caratteristiche, il Seagate Central è la vittima perfetta.

Chi ha impostato il dispositivo in questo modo, di conseguenza, si ritrova in una situazione che lo rende particolarmente vulnerabile a questo tipo di attacco.

Stando a quanto riportato da Attila Marosi, le sue ricerche su Internet hanno confermato che buona parte dei Seagate Central connessi alla Rete contengono il famigerato file Photo.scr.

Ma quanto rende la botnet creata dagli autori di Mal/Miner-C? Il ricercatore ha ricostruito anche questo aspetto. Dopo essere risalito ai wallet utilizzati dai pirati, infatti, ha potuto fare qualche calcolo.

Il sistema, con le dimensioni attuali, permette ai cyber-criminali di “minare” 327,7 XMR al giorno. Al cambio attuale (1,3 euro per XMR) sono la rispettabile somma di 428 euro al giorno. Una bella “paghetta”, considerato che a lavorare sono i computer di qualcun altro.

I problemi, però, potrebbero non finire qui. Secondo Marosi, infatti, Mal/Miner-C ha un sistema di aggiornamento che permetterebbe ai suoi autori di scaricare e installare moduli aggiuntivi sui computer infetti. Questo aprirebbe la strada a nuovi attacchi utilizzando, per esempio, dei ransomware per colpire i PC compromessi.

Condividi l'articolo