I ricercatori di Qihoo 360 Total Security hanno individuato una massiccia e davvero virulenta campagna di diffusione di un nuovo coinminer che ha infettato oltre 500.000 vittime in appena 3 giorni. Il malware in questione si chiama “WinstarNssmMiner" e bersaglia solo utenti Windows.
Il malware
Di per sé “WinstarNssmMiner" è il tipico malware per il mining di criptovaluta, basato sull'utility XMRig (open source e legittima) per il mining di Monero. Non è chiaro come si diffonda, ma un dato certo c'è: si tratta di un malware che rappresenta un caso unico nell'attuale mercato dei malware per il mining di criptovaluta. Il modus operandi di WinstarNssmMiner è il seguente:
- Infetta la vittima;
- verifica la presenza di processi legati ad antivirus come Avast e Kaspersky e altri;
- se l'utente usa uno di questi due antivirus interrompe l'infezione;
- se non vengono trovati i processi sopra indicati, lancia due processi svchost.exe;
- il codice dannoso viene iniettato entro i due svchost.exe: uno di questi avvia il mining di Monero in background;
- il secondo processo verifica invece la presenza di processi di altri antivirus;
- lo stesso processo termina i processi legati ai software antivirus per evitare l'individuazione.
 |
| I due processi svchost.exe dannosi. Fonte: Qihoo 360 |
WinstarNssmMiner è molto aggressivo...
la particolarità di questo malware è l'aggressività e la grandissima difficoltà nella quale incappano le vittime per rimuoverlo. Infatti non appena un utente un pò scafato individua il processo relativo e tenta di terminarlo, il malware blocca il computer. Se l'utente cioè individua le operazioni nascoste di mining e tenta di terminare i processi svchost.exe associati a XMRig, il malware manda in crash il PC obbligando al riavvio del Sistema Operativo. Il crash di determina perché il malware imposta le proprietà di svchost.exe come "CriticalProcess": ecco perché Windows spegne il PC quando il processo dannoso viene terminato. Non solo: si dimostra molto "arrogante" contro antivirus che ritiene deboli, semplicemente terminandone i processi, mentre abbandona il campo prima della battaglia quando incontra antivirus ritenuti troppo solidi.
Le vittime
Stando ai dati pubblicati da Qihoo 360 , questo malware ha già prodotto circa 133 Monero (dati aggiornati a ieri), che equivalgono circa a 28.000 dollari statunitensi.
Individuate altre due campagne...
che i malware per il mining in background di cripto-moneta siano una "moda" attualmente è indubbio: lo dimostra la gran quantità di campagne di diffusione. In contemporanea alla diffusione di WinstarNssmMiner, Qihoo 360 ha individuato altre due campagne (ancora in corso). La prima diffonde IdleBuddyMiner: è un miner di criptovaluta che opera in background, ma è "all'opposto" di WinstarNssmMiner. Non ha, cioè, un atteggiamento aggressivo: al contrario mostra un simpatico ed educatissimo pop up che chiede il permesso di prendere in ostaggio la capacità di calcolo della CPU della vittima.
La seconda invece diffonde vari tipi di miner di criptovaluta nascosti nell'utility per di clean-up "One System Care", un famoso PUP (Potentially Unwanted Program, ovvero un software non gradito: per rimuoverlo segui l'ottima guida di Bleeping computer).
Nessun commento:
Posta un commento