venerdì 9 marzo 2018

Cripto valute ancora nel mirino: 500,000 PC infettati in poche ore


Un paio di giorni fa Microsoft si è trovata a dover fare i conti con un malware responsabile del mining di cripto valuta. L'attacco ha causato l'infezione di almeno 500,000 PC nel giro di poche ore. Nonostante la straordinaria capacità di diffusione, Microsoft è riuscita ad intervenire con successo scongiurando un'ulteriore diffusione massiccia del malware. Il malware è conosciuto con i nomi di  "Dofoil" o "Smoke Loader". I casi di attacco più importanti si sono avuti nell'area geografica che comprende Russia, Turchia ed Ucraina. 

Il processo di infezione
Dofoil è un payload che diffonde nei computer che infetta un miner di criptovaluta per minare criptovalute sfruttando la CPU dei computer delle vittime. La particolarità è che esegue il mining di Electroneum, una criptovaluta in diffusione dal 2017 per il mobile mining, ma anche di altre valute contemporaneamente. Non è chiaro come si diffonda, si sa solo che si "traveste" da codice binario legittimo di Windows per passare inosservato ai software di sicurezza, ma non si sa molto altro. La diffusione è stata impressionante: il 6 Marzo Windows Defender individuava improvvisamente oltre 80.000 infezioni di diverse versioni di Dofoil: in appena 12 ore le individuazioni sono arrivate a 400.000. 
Secondo i ricercatori, Dofoil utilizza una tecnica piuttosto datata di code injection conosciuta come "processs hollowing": prevede la generazione di un nuovo processo nel quale il codice dannoso viene nascosto assieme a quello legittimo.  Viene quindi eseguito non il primo codice legittimo, ma il secondo che contiene anche il codice dannoso: il tentativo è di passare inosservati agli strumenti di monitoraggio e agli antivirus, "convincendoli" che si tratti di un processo legittimo.

Un malware più pericoloso di quanto si creda
Come se non bastasse, Dofoil modifica il registro di sistema di Windows per divenire persistente sul sistema almeno il tempo necessario per estrarre Elecroneum usando le risorse rubate al PC infetto. Ultimo, ma non meno importante, il malware è in grado di connettersi al server C&C remoto ospitato nell'infrastruttura di rete  decentralizzata Namecoin: dal server chiede e riceve nuovi comandi, incluso l'installazione di malware aggiuntivi.

Sistemi di individuazione comportamentale e tecniche di apprendimento automatico dell'Intelligenza Artificiale si rivelano fondamentali per impedire questo tipo di attacchi. 

Nessun commento:

Posta un commento