La pausa estiva ovviamente non ha visto ridursi il cyber crimine, anzi. La tendenza a usare criptominer al posto dei ransomware come strumento di guadagno veloce pare essere confermata. Tra i nuovi criptomyner in diffusione, ovvero tra quei malware finalizzati all'uso illegittimo della cpu delle macchine degli utenti per "minare" criptovalute come Bitcoin, troviamo PowerGhost.
PowerGhost viene distribuito entro le reti aziendali e infetta worstation e server: viene distribuito, pare per adesso, via attacchi mirati. Ad ora i principali attacchi si sono registrati in Brasile, Colombia, India e Turchia, ma si registrano i primi casi di infezione in Europa.
 |
| La diffusione ad oggi di PowerGhost |
Un malware senza file
La particolarità di PowerGhost è che utilizza diverse tecniche fileless per introdursi discretamente nella rete aziendale riducendo al minimo il rischio di individuazione da parte dei sistemi antivirus e di protezione della rete. Infatti il malware non scarica il miner in locale, nessun file viene salvato in locale: si capisce come l'individuazione e il ripristino siano così una strada tutta in salita.
L'infezione
L'attacco, per le analisi svolte fino ad ora, avviene o tramite exploit o tramite strumenti di gestione/assistenza da remoto. Quando una macchina viene attaccata, la parte principale del codice del miner viene scaricata ed eseguita direttamente in memoria volatile: riuscita l'infezione, gli attaccanti possono aggiornare il malware o impostarne addirittura l'aggiornamento automatico, programmarne la diffusione entro la rete e gestire avvio e sospensione del processo di mining.
L'individuazione
La maggior parte degli antivirus che individuano questo malware, lo fanno con i seguenti nomi:
- Trojan.Win32.Generic;
- Exploit.Win32.Generic;
- Trojan.Win32.Generic;
- RiskTool.Win32.BitMiner.gen.
Nessun commento:
Posta un commento