Dal novembre 2021, i criminali informatici stanno sfruttando un’utilità di Windows per distribuire malware di mining di criptovalute, come descritto in un rapporto di Talos Intelligence di Cisco. I malintenzionati manipolano l’Advanced Installer di Windows, un programma che aiuta gli sviluppatori di software ad includere altri installatori di software, come Adobe Illustrator, per eseguire script maligni su sistemi compromessi.
Il software preso di mira e le vittime
Gli installatori di software coinvolti in questo attacco sono principalmente utilizzati per la modellazione 3D e il design grafico. La maggior parte degli installatori di software utilizzati in questa campagna di malware è scritta in francese, il che indica che le vittime probabilmente provengono da vari settori aziendali, come architettura, ingegneria, costruzioni, manifatturiero e intrattenimento nei paesi di lingua francese. L’analisi suggerisce che gli utenti in Francia e in Svizzera sono i più colpiti, con alcuni casi in altri paesi, tra cui Stati Uniti, Canada, Algeria, Svezia, Germania, Tunisia, Madagascar, Singapore e Vietnam.
Il Modus Operandi
L’operazione di mining di criptovalute illegale identificata da Talos utilizza script dannosi di PowerShell e batch di Windows per eseguire comandi e stabilire una backdoor sul computer della vittima. PowerShell, in particolare, è noto per operare nella memoria del sistema anziché sull’hard disk, rendendo più difficile rilevare un attacco.
Dopo l’installazione della backdoor, l’attaccante lancia minacce aggiuntive come il programma di crypto mining Ethereum PhoenixMiner e lolMiner, una minaccia di mining multi-coin. Questi script maligni vengono eseguiti utilizzando la funzione di Azione personalizzata di Advanced Installer, che consente agli utenti di predefinire compiti di installazione personalizzati. I payload finali sono PhoenixMiner e lolMiner, che sono miner pubblicamente disponibili che sfruttano le capacità della GPU dei computer.
Il fenomeno del Cryptojacking
L’uso di malware di mining di criptovalute è chiamato cryptojacking. Coinvolge l’installazione segreta di un codice di mining di criptovalute su un dispositivo senza il consenso dell’utente per estrarre criptovalute illecitamente. Segnali che un malware di mining potrebbe essere in esecuzione su un dispositivo includono il surriscaldamento e il malfunzionamento dei dispositivi. La pratica di utilizzare famiglie di malware per dirottare dispositivi per estrarre o rubare criptovalute non è una novità. BlackBerry, l’ex gigante degli smartphone, ha recentemente scoperto script di malware che mirano attivamente ad almeno tre settori, tra cui servizi finanziari, assistenza sanitaria e governo.
Alla luce di queste minacce emergenti, è fondamentale rimanere informati e prendere misure preventive. Un modo per farlo è utilizzare piattaforme come cryptoview.io, che forniscono informazioni preziose sul mercato delle criptovalute e possono aiutare gli utenti a rimanere al corrente dei potenziali rischi.
Inizia ora a utilizzare i nostri strumenti gratuitamente.Ricorda, il mondo digitale è pieno di potenziali minacce. Rimanete vigili, rimanete informati e, soprattutto, rimanete al sicuro.
