I cryptominer sono malware pensati specificatamente per effettuare il mining di criptovaluta, cioè l'estrazione di monete digitali quali Monero, Ethereum, Bitcoin ecc..E' un tipo di minaccia della quale abbiamo parlato abbondantemente perchè, in questo 2018, ha mostrato un incremento esponenziale e una evoluzione continua.
L'ultimo esemplare individuato si chiama KingMiner e prende di mira i server Microsoft Windows per estrarre la criptovaluta Monero (XRM): in realtà la prima individuazione risale già al Giugno 2018, ma al tempo era un esemplare veramente rozzo e poco pericoloso. Successivamente ne sono state individuate in-the-wild numerose nuove varianti sempre più avanzate: ad oggi KingMiner si caratterizza principalmente per l'uso di una vasta gamma di tecniche di evasione che lo rendono tra i malware più difficili da individuare.
Gli obiettivi e le tecniche di infezione
Attacca principalmente i server Microsoft, in particolare IIS e SQL Server, individuando le chiavi di accesso con attacchi di brute-force. Una volta entrato nel server bersaglio, questo malware scarica ed esegue un file scriptlet (l'estensione di questi file è ".sct"), un componente .COM che include sia codice HTML che codice eseguibile scritto in vari linguaggi di scripting (solitamente VBScript o JavaScript).
Oltre a tutto ciò, KingMiner esegue alcune funzioni di analisi del sistema bersaglio:
- individua l'architettura della CPU della macchina ospite (32 o 64bit);
- se individua una versione precedente di se stesso già in esecuzione sul server, termina il processo corrispondente e cancella tutti i file relativi;
- in base all'architettura rilevata scarica specifici payload (zip\64p.zip).
Il file che viene scaricato non è un vero e proprio archivio .ZIP, ma un file XML pensato per aggirare i tentativi di emulazione. Il file XML al suo interno contiene un blocco di dati in base64: è questo che, una volta decriptato, risulta nel file .ZIP vero e proprio. Dall'archivio viene quindi estratto l'eseguibile principale del malware (“powered.exe”), poi KingMiner crea una serie di chiavi di registro impostate in valore "test" ed esegue quindi una versione di XMRrig modificata per valuta Monero.
Sfrutta il 100% della CPU
Formalmente questo malware è settato per sfruttare al massimo il 75% della capacità di calcolo della CPU della macchina bersaglio, ma reca errori di programmazione che lo portano a consumare la totalità delle risorse della CPU.
Formalmente questo malware è settato per sfruttare al massimo il 75% della capacità di calcolo della CPU della macchina bersaglio, ma reca errori di programmazione che lo portano a consumare la totalità delle risorse della CPU.
Autori invisibili
KingMiner si contraddistingue anche per le numerose misure di sicurezza che il gruppo che gestisce il malware ha improntato per garantirsi l'anonimato. Ad esempio King Mine usa un mining pool privato per rendere difficile l'attività di tracciamento. Oltre a ciò le API del pool sono disattivate e il portafoglio associato al malware non è mai stato usato in mining pool pubblici. Diviene quasi impossibile quindi sia individuare i cyber criminali dietro KingMiner sia la quantità di Monero estratta con questa attività criminale.
Nessun commento:
Posta un commento