Microsoft: Impedito mining per mezzo di virus su larga scala

Microsoft: Impedito mining per mezzo di virus su larga scala

By Benson Toti - min. di lettura
Aggiornato 16 March 2023

L’anno scorso, il mondo della sicurezza informatica è stato scosso dagli attacchi dei Ransomware Petya e WannaCry. La Microsoft ha ovviamente approfittato per spiegare in dettaglio come l’aggiornamento alle ultime versioni di Windows ha protetto gli utenti dagli exploit e ha contribuito a mitigarne la diffusione. Ma in questo momento, i virus che sfruttano il computer affetto a scopo di mining sembrano essere il genere di malware preferito dai blackhat hacker. Infatti, il 7 marzo invece la Microsoft ha pubblicato un blog post che spiega in dettaglio come il suo Windows Defender, disponibile in Windows 7,8.1 e 10, ha impedito mining su larga scala per mezzo di virus un paio di giorni fa.

microsoft

Un attacco di vasta portata

Secondo il rapporto, Windows Defender ha utilizzato segnali basati sul comportamento e modelli machine learning per rilevare e bloccare quasi 80.000 istanze di molti trojan avanzati. L’azienda afferma che i trojan in questione erano una variante di Dofoil, e sono accompagnati da software per mining. Dopo la prima rilevazione, 400.000 casi dell’attacco sono stati identificati nelle 12 ore successive. Il 73% di questi in Russia, il 18% in Turchia e il 4% in Ucraina.

La famiglia di malware Dofoil è considerata conseguenza indiretta dell’attuale richiesta di criptovalute. I prezzi alti delle criptovalute creano opportunità nuove e più profique per guadagnare per mezzo di malware. Il malware che Windows Defender ha rilevato utilizza una tecnica di iniezione del codice nel processo di explorer, creando una nuova istanza del processo legittimo e sostituendo il suo codice con malware.

Un virus avanzato

Questo processo infetto genera quindi un’altra istanza. Questa è quella che si occupa del mining. In circostanze normali, questo sarebbe stato molto difficile da rilevare da parte di un utente. Questo perché il processo in questione è un processo dannoso che agisce apparendo come un binario legittimo di Windows, ma viene eseguito da una posizione errata.

La Microsoft spiega:

“Per rimanere nascosto, Dofoil modifica il registro di sistema. Il processo explorer.exe vuoto crea una copia del malware originale nella cartella Roaming AppData. Dopo lo rinomina in ditereah.exe. Crea quindi una chiave di registro o ne modifica una esistente per puntare alla copia malware appena creata. Nel campione analizzato, il malware ha modificato il tasto OneDrive Run.

Il processo explorer.exe vuoto scrive ed esegue un altro binario, D1C6.tmp.exe (SHA256:5f3efdc65551edb0122ab2c40738c48b677b677b1058f7dfcdb86b86b05af42a2d8299c) nella cartella Temp. La D1C6.tmp.exe poi crea ed esegue una copia di se stessa chiamata lyk.exe. Una volta avviato, lyk.exe si connette ad indirizzi IP che fungono da server proxy DNS per la rete Namecoin. Si tenta quindi di connettersi al server C&C vinik.bit all’interno dell’infrastruttura NameCoin. Il server C&C comanda al malware di connettersi o disconnettersi a un indirizzo IP, scaricare un file da un determinato URL ed eseguire o terminare il file specifico, oppure sospenderlo per un certo periodo di tempo.”

Conclusione

Anche se Microsoft ha dichiarato che i clienti che eseguono Windows 7, 8.1 e 10 con Windows Defender AV o Microsoft Security Essentials sono protetti, si raccomanda agli utenti di aggiornare al suo ultimo sistema operativo, che è Windows 10. In realtà, l’azienda ha anche incoraggiato i clienti a utilizzare Windows 10 S per proteggersi da tali minacce.

Gli hacker, come già detto in abbondanza, trovano terreno fertile nel far west quali sono in questo momento le criptovalute. Ma la situazione sta finalmente cambiando e le giuste contromisure stanno nascendo. È importante però anche non incolpare lo strumento dell’utilizzo che ne viene fatto come alcuni continuano a fare.