Ancora guai per colpa di alcuni malware di cryptovalute

0
6571
Ancora guai per colpa di alcuni malware di cryptovalute

Con il famigerato script di mining Coinhive ora offline, chiunque avrebbe pensato che il cripto-jacking fosse una cosa del passato. Per intenderci, con questo termine intendiamo script che usano la CPU dei naviganti di un sito web per estrarre criptovalute. Purtroppo, però, i ricercatori sulla sicurezza hanno scoperto una nuova famiglia di malware che sta attaccando i PC per estrarre criptovalute.

I ricercatori di Trend Micro hanno identificato un malware che utilizza numerosi exploit di server e attacchi brute-force. Il malware scarica e installa XMRig, un minatore di moneta criptata Monero, secondo i risultati dei ricercatori, in un articolo individuato da ZDNet.

BlackSquid è stato più attivo nell’ultima settimana di maggio, con la maggior parte dei suoi attacchi contro la Thailandia e gli Stati Uniti, secondo i ricercatori.

Trend Micro sta chiamando la famiglia di malware “BlackSquid” dopo i registri che crea e i suoi nomi di file principali. Non a caso, BlackSquid utilizza otto exploit noti, tra cui: EternalBlue, DoublePulsar, tre falle di sicurezza del server (CVE-2014-6287, CVE-2017-12615, CVE-2017-8464) e tre vulnerabilità delle applicazioni web (ThinkPHP).

La cosa più allarmante, tuttavia, è che BlackSquid impiega una serie di tattiche per rimanere nascosto. Utilizza l’anti-virtualizzazione, anti-debugging e anti-sandboxing prima di continuare con l’installazione. Il malware si installa da solo se pensa di non essere individuato.

Ha anche un comportamento “simile a un verme” per la propagazione laterale, dicono i ricercatori. In parole povere, dopo che un computer in rete è stato infettato, il malware cercherà di infettare altri sistemi in rete per diffondere l’infezione.

In che modo BlackSquid infetta un sistema?

BlackSquid attacca i sistemi attraverso pagine web infette, server web compromessi o unità rimovibili o di rete (ad esempio unità USB infette).

Se non viene rilevato, il malware continua a installare una versione dello script XMRig cryptocurrency mining. L’attacco non si ferma qui, poiché il malware analizza anche il sistema infetto alla ricerca di una scheda video.

Le GPU delle schede video possono creare ottimi minatori di valuta criptata. Se BlackSquid trova una GPU, utilizzerà un secondo componente XMRig per utilizzare le risorse hardware. In breve, il malware cerca di sfruttare tutto il possibile in un sistema per massimizzare il ritorno della valuta criptata per gli aggressori.

Detto questo, Trend Micro avverte che il malware potrebbe fornire altri problemi in attacchi futuri.

Infatti, mentre BlackSquid potrebbe sembrare terrificante e potrebbe causare danni significativi, sta facendo uso di exploit e vulnerabilità note. Queste vulnerabilità sono già state corrette, quindi proteggere se stessi è semplice. Assicuratevi che il vostro sistema sia aggiornato e che siano installate tutte le patch più recenti, provenienti da fonti legittime.

I ricercatori sottolineano inoltre che questo malware sembra essere in fase di test, con molte delle sue caratteristiche segnalate per ulteriori prove. Se è vero, questa potrebbe non essere l’ultima volta che sentiamo parlare di BlackSquid.

Infatti, potrebbe non essere la fine degli attacchi cripto-jacking. Nel maggio 2019, una ricerca della società di sicurezza informatica Malwarebytes ha detto che il suo software stava bloccando oltre 1 milione di malware concorrenti a Coinhive

LASCIA UN COMMENTO

Inserisci il commento!
Inserisci il tuo nome