Tutti pazzi per le criptovalute: Avira e Norton minano Ethereum dalle macchine dei clienti quando il processore non è occupato

Inutile dire che la decisione lascia profondamente perplessi: Avira e Norton hanno deciso in integrare nei rispettivi prodotti un miner di criptovalute. Il modulo di Avira si chiama Avira Crypto ed è stato inserito nella versione free dell'anti malware, mentre Norton Cyrpto è stato inserito in Norton 360: in entrambi i casi, i due noti vendor antivirus e antimalware hanno deciso di minare la criptovaluta Ethereum. Ovviamente Avira e Norton non sono enti di beneficenza ed hanno previsto di trattenere una fetta  di quanto viene prodotto dal PC dell'utente: la percentuale che verrà trattenuta da Avira non è ancora stata dichiarata pubblicamente, mentre Norton terrà per sé ben il 15%. 

Una bella giravolta, non c'è che dire: ricorrono alla memoria i tempi (neppure troppo remoti) in cui tutti i vendor informatici avevano deciso di dichiarare guerra alle criptovalute. Da NVIDIA e il blocco delle criptovalute per le proprie GPU, passando proprio per Norton, Avira e altri popolari vendor i cui prodotti segnalavano come pericolosi o ingannevoli quei siti web che avevano al proprio interno le funzionalità per l'estrazione delle criptovalute. 

Ora, nell'evidenza del fallimento di ogni tentativo di arginare la corsa alla criptovalute, alcuni hanno deciso evidentemente di abbracciarle e a fornire gli strumenti per il mining sono proprio coloro che, un tempo, stavano cercando in ogni maniera di arginare il fiume in piena. 

Per approfondire > Invasione dei miner di cripto-valuta. Ora anche per Android
Per approfondire > Criptovalute: crollo dei miner in-browser, impennata dei malware

Come funzionano Avira Crypto e Norton Crypto

Malware e tecniche di attacco:come cambiano gli strumenti dei cyber criminali contro le aziende

A giudicare dall'andamento di questi anni, l'intero paradigma "di attacco" contro le aziende pare essersi evoluto (e ancora si sta evolvendo) verso una riduzione delle tipologie di attacco e maggiori investimenti nella ricerca e produzione di tool di accesso e attacco: insomma meno tipologie di attacco con cui confrontarsi, ma portate con strumenti molto insidiosi che richiedono investimenti e rodaggio. Di conseguenza, è ancora più importante per i cyber attaccanti, garantire che tali strumenti siano effettivamente capitalizzabili e quanto più possibile monetizzabili: colpire meno obiettivi, ma più grossi sembra il nuovo orizzonte.

Ecco che virus e worm, pur sempre presenti, perdono di importanza (molti report parlano di una riduzione intorno al 50%, rispetto allo scorso anno di questi classici strumenti di attacco) rispetto alle tecniche di ingegneria sociale e ai malware di nuova generazione. In questo momento a farla da padrone sono proprio gli attacchi di ingegneria sociale e malware di vario tipo (downloader e infostealer principalmente), che ormai spesso si combinano con attacchi ransomware (questi ultimi segnano un +62% rispetto allo scorso anno).

Oltre a ciò, l'emergere di nuovi settori e nuove tecnologie richiede la scelta di strumenti di attacco mirati: il Cyber Threat Report 2021 di Sonicwall, ad esempio, rivela una vera e propria impennata di attacchi contro l'Internet of Things, che si attestano a 56,9 milioni con una crescita del 66% rispetto allo scorso anno.

La novità degli ultimi due anni, non perchè questa tipologia non fosse già diffusa quanto per il peso politico ed economico che hanno avuto i recenti attacchi, è quella degli attacchi cosiddetti Supply chain. Questa tipologia di attacchi consiste nel colpire una o più aziende contemporaneamente individuando e colpendo l'anello debole della catena della sicurezza: gli eventi che hanno riguardato SolarWinds e Kaseya sono solo la punta dell'iceberg di un rischio sempre più diffuso e insidioso, e che tavolta si mischia anche col social engineering (tecniche di ingegneria sociale sono ormai usate nel 96% degli attacchi).

NAS QNAP ancora sotto attacco: massiva distribuzione di criptominer, oltre 370.000 i NAS vulnerabili in Italia

I dispositivi NAS QNAP non patchati sono di nuovo protagonisti una ondata di attacchi mirati: questa volta nessun ransomware, è invece in corso una massiva campagna che mirata alla diffusione di criptominer. D'altronde pare essere l'anno dei criptominer, i cui assetati sfruttatori stanno lasciando a bocca asciutta il mercato delle schede grafiche e perfino dei pc da gaming pur di ottenere nuova potenza di calcolo. E ora la fila delle vittime di questo business opaco e sempre più sconfinante nell'illegalità, si allunga coi NAS QNAP. 

L'attuale ondata sfrutta due diverse vulnerabilità di esecuzione di comandi da remoto pre autenticazione: trattarsi di due vulnerabilità, la CVE-2020-2506 e la CVE-2020-2507, residenti nella patch dell'app QNAP HelpDesk diffusa nell'Ottobre 2020. 

Il malware che viene diffuso attualmente, individuato dai ricercatori di 360 Netlab, è stato ribattezzato UnityMiner. Gli sviluppatori del criptominer hanno personalizzato il malware nascondendo sia il processo di mining sia le informazioni sull'uso reale della CPU: di conseguenza gli utenti che utilizzano il sistema di interfaccia di gestione WEB per verificare l'uso del sistema, non possono vedere alcun comportamento anomalo.

Sono vulnerabili a questo tipo di attacco tutti i NAS QNAP i cui firmware sono stati rilasciati prima dell'Agosto 2020. 

Stando ai dati telemetrici di 360 NetLab questa campagna ha avuto il via il 3 Marzo, o almeno questa  è la data in cui sono state individuate le prime violazioni. Ma i numeri sono già estremamente preoccupanti: i ricercatori hanno eseguito una mappatura dei NAS QNAP vulnerabili che risultano online, individuandone 4.297.426. Di questi, circa 370.000 si trovano in Italia, stato europeo col maggior numero di dispositivi esposti

Hackerati i supercomputer europei: misterioso cyberattacco per minare criptovaluta

Molti computer ad alte performance, ma anche datacenter usati per progetti di ricerca sono stati spenti in vari stati europei a seguito di un incidente di sicurezza. La maggior parte sono situati in Germania, Svizzera e Regno Unito e l'incidente subìto ha reso impossibile continuare il proprio lavoro per centinaia di ricercatori. In realtà l'attacco si è prolungato nel tempo: pare infatti che alcuni supercomputer siano stati compromessi già all'inizio del Gennaio di quest'anno.

Per supercomputer si intendono sistemi con enorme potenziale di calcolo, usati principalmente in ambito scientifico per testare modelli matematici per complessi fenomeni fisici, per il design, per le simulazioni, per i test di laboratorio. 

Le notifiche degli incidenti di sicurezza sono iniziate Lunedì: le prime vittime sono state nel Regno Unito e in Germania. Le notifiche avvisavano pubblicamente dello shut down dei sistemi a causa di attacchi informatici. Ad esempio ARCHER, il servizio di supercomputing del Regno Unito è divenuto inaccessibile ai ricercatori l'11 Maggio a causa di un exploit di sicurezza sul nodo di login. Il servizio è rimasto inaccessibile dall'esterno, quindi nessuno, neppure il tema di cybersicurezza governativo, vi ha accesso. L'intero set di password di Archer, ma anche le chiavi SSH dovranno essere resettate. 

Campagna malware crea botnet per il mining di Monero sfruttando (ancora) EternalBlue

Ricordate l'attacco ransomware del secolo, quello di Wannacry? WannaCry ha registrato una virulenza impressionante grazie all'uso di una serie di exploit sottratti all'NSA dal gruppo hacker Shadow Brokers. Il più importante ed efficace di questi exploit è EternalBlue, che sfrutta una vulnerabilità del protocollo SMBv1. 

Quando si registrarono le prime infezioni di WannaCry questa vulnerabilità era già stata risolta, ma da pochissimo tempo: la campagna di diffusione di WannaCry iniziò il 12 Maggio 2017, la patch diffusa da Microsoft per l'SMB,  disponibile col bollettino di sicurezza MS17-010 risale al Marzo 2017. Insomma, gli utenti che sono stati colpiti da WannaCry nei primi mesi di diffusione sono "giustificabili": che ci sia troppa poca attenzione al problema delle vulnerabilità è un dato di fatto, ma qualche settimana di ritardo è quantomeno comprensibile. 

Criptovalute: crollo dei miner in-browser, impennata dei malware

Abbiamo denunciato in più occasioni il problema dei miner di criptovalute: nati come strumenti legittimi per sostituire gli ads come mezzo di guadagno per i gestori di siti web, in pochissimo tempo si sono "tramutati" in vere e proprie armi illegali di attacco contro utenti ignari.  La loro diffusione era divenuta così estesa da obbligare piattaforme di rilievo come Google Play  a rimuovere tutte le app per il mining e a impedire la pubblicazione di nuove. 

In questi ultimi due anni, periodo nel quale la loro diffusione ha mostrato una crescita più che esponenziale, si è affermato sopratutto l'uso dei miner in browser: parliamo di codice JavaScript inserito entro siti Internet o web server compromessi o appositamene creati (crypto-jacking) .

Da più fonti, nel mondo della sicurezza informatica, si sta denunciando, però, un cambiamento piuttosto drastico: i dati mostrano un netto calo dei miner in browser, al quale corrisponde al contrario un'impennata dei malware per il mining. Il motivo parrebbe essere legato, principalmente, ad una questione di efficacia. 

Coin Hive termina il servizio: scompare lo script per il mining di criptovaluta più usato dai cyber attaccanti

Abbiamo parlato spesso di CoinHive, sopratutto in termini negativi: nato come servizio in-browser legittimo per il mining di criptovaluta, si è trasformato piuttosto velocemente in uno strumento di attacco usato di nascosto sulle macchine delle vittime. E' diventato cioè da strumento regolare per aumentare i profitti derivanti dalle visualizzazioni di un sito web (inizialmente sopratutto  per sostituire i fastidiosi ads pubblicitari), ad uno strumento di cyber attacco che ha permesso ai cyber criminali di guadagnare centinaia di migliaia di dollari sfruttando il computer di milioni di persone che si trovavano a visitare siti web appositamente compromessi. 

E' stato CoinHive stesso ad annunciare la definitiva sospensione del servizio a partire dall'8 Marzo 2019. 

In breve

Nuovo attacco in corso (anche in Italia): il malware-kit combina trojan, miner e malware per il furto dati

Alcuni ricercatori di sicurezza hanno dato notizia di una pericolosissima campagna di attacco, già individuata svariate volte in Italia, Cina, Taiwan e Hong Kong:  parliamo di un vero e proprio "kit da attacco" composto da due trojan e un miner per la criptovaluta Monero, in diffusione via internet e rete in area locale. 

Il kit è stato scoperto casualmente, quando i ricercatori di Trend Micro hanno individuato un attacco molto strano, durante il quale si scaricavano nella cartella Windows file apparentemente casuali su computer aventi la porta 445 aperta e non aggiornata, quindi vulnerabile alla compromissione con l'exploit del protocollo SMB di Window Server. La vulnerabilità sfruttata è la MS17-010, già risolta nel 2017. 

L'accesso nell'host

I miner di criptovaluta sbarcano sul Microsoft Store per la prima volta

E' stato individuato sul Microsoft Store un gruppo di 8 applicazioni potenzialmente indesiderate (PUA), responsabili del download sul dispositivo degli script dannosi per il mining di criptovaluta Coinhive Monero (XMR). Sfruttano, per la diffusione, la libreria legittima Google Tag Manager (GTM).  I fatti interessanti relativi a queste individuazioni sono due: 

• è la prima volta che vengono riscontrati miner di criptovaluta illegittimi sul Microsoft Store;
• GTM è un sistema di gestione dei tag progettato da Google per aiutare gli sviluppatori a inserire contenuti KJavascript e HTML nelle proprie app a scopo di analisi e monitoraggio ed è la prima volta che il sistema viene invece usato per distribuire script dannosi di questo tipo.

Le app compromesse (e già rimosse da Microsoft) sono:

1. Fast-search Lite
2. Battery Optimizer (Tutorials)
3. VPN Browser+
4. Downloader for YouTub Videos
5. Clean Master+ (Tutorials)
6. FastTube
7. Findoo Browser 2019
8. Findoo Mobile & Desktop Search. 

Nuovo malware per MAC ruba credenziali bancarie e dei portafogli di criptovaluta

CookieMiner è un nuovo malware capace di rubare e esfiltrare dai browser web i cookie relativi ai wallet dei servizi online e ai siti web di scambio di criptovaluta, così come password, messaggi di testo e credenziali dellle carte di credito. Questo malware colpisce soltanto i dispositivi MAC e condivide parti di codice con esemplari di malware già conosciuti: OSX.DarthMiner e OSX.LamePyre. Tutti questi malware usano la backdoor EmPyre a fini di controllo da remoto e persistenza e per inviare comandi arbitrari ai MAC infetti dopo il successo dell'exploit. 

Dato che ormai la quasi totalità degli exchange di criptovaluta e dei servizi di wallet online usano metodi di autenticazione a più fattori, CookieMiner tenta di aggirare questi processi di autenticazione collezionando una complessa combinazione di credenziali di login, messaggi di testo e cookie web. 

CookieMiner consente ai suoi sviluppatori di mettere le mani su una grande quantità di dati dalle macchine compromesse: tutto inizia con uno script shell che avvia la raccolta dei cookie dal browser e li carica su un server remoto che esegue il servizio curldrop.

Il ransomware WannaCry e l'exploit EternalBlue ancora in attività: sono davvero eterni?

EternalBlue non è un semplice exploit kit, ma l'Exploit Kit con le maiuscole: per chi non ricordasse la sua storia, stiamo parlando del kit per sfruttare una vulnerabilità dell'implementazione della v.1 del protocollo SMB e penetrare non solo nel sistema bersaglio, ma anche nella rete. E' l'exploit kit che, sottratto dai server della National Security Agency, è stato alla base della impressionante virulenza di WannaCry, BadRabbit e del wiper NotPetya. 

Per approfondire >> L'exploit di WannaCry,NotPetya e BadRabbit: EternalBlue 1 anno dopo

Qualcuno probabilmente penserà che, passato tutto questo tempo, EternalBlue sia un'arma spuntata, a maggior ragione che la vulnerabilità dell'SMB sfruttata è stata risolta con la pubblicazione del relativo bollettino di sicurezza (MS17-010) contenente la patch per le vulnerabilità attaccate da EternalBlue. Non è assolutamente così, purtoppo e questa fine 2018/inizio 2019 ce ne ha già fornito conferma. 

1. La conferma: WannaCry è inattivo, ma i computer infetti sono ancora milioni. 

Individuato in diffusione malware per MAC: combina backdoor e miner

All'inizio della settimana in corso alcuni ricercatori di sicurezza hanno individuato un nuovo malware per Mac che combina due differenti tool open-source: la backdoor EmPyre e il miner di criptovaluta XMRig. Questo malware è attualmente diffuso tramite un applicativo di nome Adobe Zii, un software per "piratare" svariate applicazioni di Adobe. In ogni caso i ricercatori sono piuttosto certi nell'affermare che il software Adobe Zii che diffonde il nuovo malware non sia "l'originale", ma una versione ulteriormente modificata dello stesso: ad esempio i loghi differiscono. 

Come infetta i Mac?

KingMiner attacca i server Windows

I cryptominer sono malware pensati specificatamente per effettuare il mining di criptovaluta, cioè l'estrazione di monete digitali quali Monero, Ethereum, Bitcoin ecc..E' un tipo di minaccia della quale abbiamo parlato abbondantemente perchè, in questo 2018, ha mostrato un incremento esponenziale e una evoluzione continua. 

L'ultimo esemplare individuato si chiama KingMiner e prende di  mira i server Microsoft Windows per estrarre la criptovaluta Monero (XRM): in realtà la prima individuazione risale già al Giugno 2018, ma al tempo era un esemplare veramente rozzo e poco pericoloso. Successivamente ne sono state individuate in-the-wild numerose nuove varianti sempre più avanzate: ad oggi KingMiner si caratterizza principalmente per l'uso di una vasta gamma di tecniche di evasione che lo rendono tra i malware più difficili da individuare. 

Gli obiettivi e le tecniche di infezione

CoinMiner usa un nuovo trucco per camuffarsi da Installer di Adobe Flash Player

E' in corso una nuova, capillare, campagna di diffusione di miner di criptovaluta: il miner in questa campagna viene diffuso tramite un installer fake di Adobe Flash Player. Ora, se questa non è affatto una novità, la particolarità di questa campagna sta nel fatto che fa di tutto per apparire davvero legittima: non si limita infatti ad installare il miner, ma aggiorna anche realmente Flash Player. 

Come detto, gli installer di Flash Player con miner non sono affatto nuovi, ma nel passato si limitavano esclusivamente a installare il miner quindi aprire il browser al sito web di Adobe Flash Player. In questa nuova campagna malware, individuata dalla Palo Alto Unit 42, questo trojan che si spaccia per l'installer Flash Player, non solo installa il miner XMRig, ma aggiorna automaticamente la versione di Flash Player installata sul sistema bersaglio. E' il trojan stesso a scaricare l'update legittimo dal sito web di Adobe. 

ADB.MINER: in diffusione il primo worm per Android

E' stato individuato un nuovo malware per Android del quale merita scrivere, al di là del livello reale di diffusione, poiché apre una stagione del tutto nuova per il cyber crimine: ADB.miner infatti è il primo worm per Android. Ed è già una minaccia da non sottovalutare: sono centinaia gli smartphone colpiti da questo worm e l'analisi telemetrica dei dati sta dimostrando un preoccupante trend di crescita del numero e della frequenza degli smartphone infetti. 

La particolarità di ADB.miner è che non necessita ne dell'installazione di alcuna app ne di alcun sistema di ingegneria sociale per truffare la vittima: un attacco da remoto senza alcuna partecipazione della vittima è sufficiente per infettare il dispositivo. 

Come funziona

Individuato il primo malware sia ransomware che miner di criptovaluta.

Alcuni ricercatori di sicurezza hanno individuato un interessantissimo "frammento" di malware che ha doppia capacità di attacco: può cioè infettare un sistema sia con un miner di criptovaluta sia con un ransomware. La scelta tra l'uno o l'altro tipo di attacco dipende semplicemente da quale, tra i due schemi di infezione, risulti più profittevole per gli attaccanti. Da una parte quindi un meccanismo di criptazione dei file o blocco della macchina in cambio di un riscatto, dall'altra l'utilizzo del potenziale di calcolo di una CPU per minare moneta digitale. 

Entrambi i meccanismi di attacco rientrano nelle "top threats" e hanno delle caratteristiche comuni, sopratutto a partire dal fatto che sono entrambi attacchi piuttosto semplici, portati avanti per soldi contro vittime "a caso" (ovvero non targetizzate, si spara semplicemente nel mucchio) e che guadagnano dalle monete digitali la necessaria anonimia per non essere individuati. Il ransomware ha però un difetto: il blocco di un computer o dei file non garantisce necessariamente che la vittima paghi il riscatto. Una vittima potrebbe detenere un backup per ripristinare i file, oppure ancora non avere nulla di particolarmente grave da perdere al punto da essere indotta a pagare. Quindi, come diciamo già da qualche tempo, il cyber crimine ha virato verso la più sicura e redditizia estrazione di cripto valuta, studiano nuovi mezzi e varianti per sfruttare le CPU delle vittime. 

3 campagne contemporanee diffondono miner di criptovaluta: WinstarNssmMiner fa 500.000 vittime in tre giorni.

I ricercatori di Qihoo 360 Total Security hanno individuato una massiccia e davvero virulenta campagna di diffusione di un nuovo coinminer che ha infettato oltre 500.000 vittime in appena 3 giorni. Il malware in questione si chiama “WinstarNssmMiner" e bersaglia solo utenti Windows. 

Il malware

Di per sé “WinstarNssmMiner" è il tipico malware per il mining di criptovaluta, basato sull'utility XMRig (open source e legittima) per il mining di Monero. Non è chiaro come si diffonda, ma un dato certo c'è: si tratta di un malware che rappresenta un caso unico nell'attuale mercato dei malware per il mining di criptovaluta. Il modus operandi di WinstarNssmMiner è il seguente:

1.  Infetta la vittima;
2.  verifica la presenza di processi legati ad antivirus come Avast e Kaspersky e altri;
3.  se l'utente usa uno di questi due antivirus interrompe l'infezione;
4.  se non vengono trovati i processi sopra indicati, lancia due processi svchost.exe;
5. il codice dannoso viene iniettato entro i due svchost.exe: uno di questi avvia il mining di Monero in background;
6. il secondo processo verifica invece la presenza di processi di altri antivirus;
7. lo stesso processo termina i processi legati ai software antivirus per evitare l'individuazione.

Ancora Miner: nuova campagna colpisce i web server con un ampio assortimento di Exploit

E' in corso una nuova ondata di exploit per la diffusione di malware per il mining di criptovaluta che colpisce i server nel web e usa una molteplicità di exploit per aumentare le proprie possibilità di ottenere l'accesso a sistemi vulnerabili e non aggiornati: installa così un miner di Monero. 

La campagna, ribattezzata dai ricercatori di AlienVault MassMiner, usa exploit contro tre diverse vulnerabilità: la CVE-2017-10271 (Oracle WebLogic), la CVE-2017-0143 (SMB Windows) e la CVE-2017-5638 (Apache Struts). 

Exploit VIP

FacexWorm: il malware in diffusione su Facebook Messenger e Chrome

Gli utenti di Google Chrome, Facebook e tutti coloro che utilizzano cirptovalute devono prestare attenzione ad una nuova tipologia di malware chiamata FacexWorm: questo malware è specializzato nel furto di password, nel furto di criptovalute dai fondi delle vittime, nell'esecuzione di script per il mining e per un elevato livello di spam contro gli utenti Facebook. 

Il nuovo malware è stato individuato qualche giorno fa e appare collegato a due diverse campagne di spam via Facebook Messenger: parliamo, nel dettaglio, di due massive campagne di spam che hanno avuto luogo rispettivamente in Agosto e Dicembre 2017 e che hanno diffuso il malware Digmine. Digmine installava miner di Monero e estensioni dannose nel browser Chrome delle vittime. I ricercatori concordano nell'affermare che il modus operandi di questa campagna sia molto simile alle due precedentemente citate, con qualche aggiunta tecnica rivolta agli utenti di criptovalute. 

Come si diffonde FacexWorm

Google vieta le estensioni che permettono il mining di criptovaluta

Secondo molti, le criptovalute rappresentano il futuro e sono moltissimi quelli che rimpiangono di non aver investito in Bitcoin o simili. Come succede in questi casi però, se si presenta una possibile novità positiva ci sarà qualcuno che tenterà di metterci le mani sopra in modo fraudolento. Proprio per questo motivo, si sono moltiplicati fino a diventare una ondata gli episodi di mining di criptovaluta compiuti senza il permesso degli utenti: parliamo di attacchi volti a sfruttare di nascosto la capacità di calcolo delle CPU degli utenti che navigano nel web. Ultimamente si sono susseguiti numerosi interventi volti a prevenire questo tipo di situazioni (se sei un utente Firefox vedi qui), l'ultimo in ordine di tempo viene direttamente da Google che ha deciso di escludere dal webstore di Chrome le estensioni che permettono il mining di criptovalute. 

La decisione di Google è arrivata in seguito all'aver riscontrato un aumento delle presenza di