E' in corso una nuova, capillare, campagna di diffusione di miner di criptovaluta: il miner in questa campagna viene diffuso tramite un installer fake di Adobe Flash Player. Ora, se questa non è affatto una novità, la particolarità di questa campagna sta nel fatto che fa di tutto per apparire davvero legittima: non si limita infatti ad installare il miner, ma aggiorna anche realmente Flash Player.
Come detto, gli installer di Flash Player con miner non sono affatto nuovi, ma nel passato si limitavano esclusivamente a installare il miner quindi aprire il browser al sito web di Adobe Flash Player. In questa nuova campagna malware, individuata dalla Palo Alto Unit 42, questo trojan che si spaccia per l'installer Flash Player, non solo installa il miner XMRig, ma aggiorna automaticamente la versione di Flash Player installata sul sistema bersaglio. E' il trojan stesso a scaricare l'update legittimo dal sito web di Adobe.
 |
| Fonte: bleepingcomputer.com |
Nei fatti, eseguendo effettivamente l'aggiornamento del programma desiderato, questo trojan rende l'utente molto meno sospettoso e aggiunge ulteriore legittimità. Il punto è che, se anche ora Adobe Flash Player è aggiornato, quel che la vittima non sa è che il coinmainer è stato installato sul sistema ed è stato avviato in background. Questo coinminer si collega ad un pool di mining su xmr-eu1.nanopool.org e inizia ad utilizzare circa il 100% delle risorse della CPU della macchina per estrarre la cripto valuta Monero.
 |
| Fonte: bleepingcomputer.com |
Tracciando gli installer
Duncan, facente parte del team che ha scoperto questa campagna, ha evidenziato come in questa campagna l'installer fake di Flash usi un URL contenente "flashplayer_down.php?clickid=", con alcuni download che sono ospitati su istanze Amazon AWS. Insomma, sulla base della quantità di falsi Flash Player rilasciati tra Marzo e Settembre 2018, ha potuto ricostruire una certezza: questa campagna, iniziata appunto a Marzo, ha visto i massimi picchi di distribuzione tra la fine di Luglio e la fine di Settembre 2018.
 | |
|
Purtroppo Duncan ha confermato a BleepingComputer che non è stato in grado di individuare i siti web compromessi o fake tramite i quali viene ancora distribuito l'installer fake. Nel dubbio, consigliamo di scaricare o aggiornare Flash Player solo dal sito ufficiale di Adobe e di evitare qualsiasi sito web non ufficiale che metta in download installer o update di Flash.
Nessun commento:
Posta un commento