Aggiornamenti recenti Aprile 18th, 2024 2:00 PM
Set 13, 2016 Marco Schiaffino Attacco non convenzionale, Minacce, News, RSS 0
L’idea di usare i computer infetti per “minare” Bitcoin non è nuova ed è stata usata, nel recente passato, già da malware come Linux.Lady. La nuova versione di Mal/Miner, però, ha introdotto alcuni elementi di novità e portato la tecnica a un livello decisamente più raffinato.
A spiegarlo in un dettagliato report è Attila Marosi, un ricercatore di Sophos che ha passato ai raggi X il malware. La prima particolarità segnalata da Marosi riguarda la scelta di non rivolgersi alla produzione di Bitcoin, per i quali le operazioni di mining sono ormai decisamente troppo impegnative, ma a una crypto-valuta alternativa chiamata Monero, le cui monete sono chiamate XMR.
Rispetto ai più conosciuti e diffusi Bitcoin, che sono progettati in modo che col tempo siano sempre più difficili da “minare” attraverso l’uso della potenza di calcolo del computer, Monero è ancora piuttosto accessibile. L’uso di un malware per ottenere XMR sfruttando i computer altrui, quindi, consente un margine di guadagno piuttosto significativo.
Per ottimizzare l’uso dei computer infetti, il codice del malware contiene ben tre miner (i software per “estrarre” gli XMR) diversi: uno dedicato alle macchine con CPU a 32 bit, uno per quelle a 64 bit e un terzo per l’utilizzo della GPU, che garantisce risultati migliori sfruttando il calcolo parallelo.
Le particolarità di Mal/Miner-C, però, non finiscono qui. Il malware, infatti, usa un sistema di diffusione decisamente originale: si comporta come un worm, cercando di diffondersi su tutte le macchine che riesce a raggiungere via Internet.
Questo compito è affidato a un eseguibile chiamato tftp.exe, che ha il compito di tentare di accedere a server FTP aperti o vulnerabili per diffondere Mal/Miner-C. Il processo, in pratica, tenta il collegamento a indirizzi IP generati casualmente, utilizzando per l’accesso un elenco di username e password del tipo “admin”, “root” e simili.
Se individua un server FTP accessibile, inserisce una copia di Mal/Miner-C in tutte le cartelle che riesce a raggiungere. La tecnica per indurre la potenziale vittima ad aprire il file è un classico stratagemma da “vecchia scuola”.
Il malware viene infatti memorizzato all’interno di una cartella chiamata Photos. Il file eseguibile, chiamato Photo.scr, è stato inoltre “camuffato” abbinandolo a un’icona che somiglia terribilmente a quella delle cartelle di Windows.
Considerato che molti utenti non modificano l’opzione che nasconde automaticamente le estensioni nei nomi dei file, ci sono buone probabilità che qualcuno faccia doppio clic su quella che sembra solo una cartella tra tante.
E il trucco, a quanto pare, funziona. Per il momento, Marosi è stato in grado di individuare 3,150 macchine (identificate attraverso l’indirizzo IP) su cui è attivo il malware.
I bersagli più vulnerabili per questa originale strategia di diffusione sono i NAS, le cui funzioni FTP vengono spesso utilizzate senza modificare le configurazioni predefinite, lasciando inalterate la username e password originali. Tra tutti, però, Marosi ha individuato quella che sembra una vera vittima predestinata: si tratta del Seagate Central.
Il dispositivo, infatti, ha una funzione che consente lo streaming di contenuti multimediali via Internet. Per utilizzare la funzione di streaming, in sintesi, gli utenti devono usare una cartella pubblica e attivare la modalità remota. In queste condizioni, però, la cartella pubblica è accessibile via FTP a chiunque, anche in modalità anonima.
Chi ha impostato il dispositivo in questo modo, di conseguenza, si ritrova in una situazione che lo rende particolarmente vulnerabile a questo tipo di attacco.
Stando a quanto riportato da Attila Marosi, le sue ricerche su Internet hanno confermato che buona parte dei Seagate Central connessi alla Rete contengono il famigerato file Photo.scr.
Ma quanto rende la botnet creata dagli autori di Mal/Miner-C? Il ricercatore ha ricostruito anche questo aspetto. Dopo essere risalito ai wallet utilizzati dai pirati, infatti, ha potuto fare qualche calcolo.
Il sistema, con le dimensioni attuali, permette ai cyber-criminali di “minare” 327,7 XMR al giorno. Al cambio attuale (1,3 euro per XMR) sono la rispettabile somma di 428 euro al giorno. Una bella “paghetta”, considerato che a lavorare sono i computer di qualcun altro.
I problemi, però, potrebbero non finire qui. Secondo Marosi, infatti, Mal/Miner-C ha un sistema di aggiornamento che permetterebbe ai suoi autori di scaricare e installare moduli aggiuntivi sui computer infetti. Questo aprirebbe la strada a nuovi attacchi utilizzando, per esempio, dei ransomware per colpire i PC compromessi.
Dic 01, 2023 0
Ott 23, 2023 0
Feb 07, 2023 0
Gen 04, 2023 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...