Kaspersky Lab mette in guardia contro il ritorno delle “mining botnet” che installano segretamente miner di cryptovaluta sui computer infettati da malware.
Il successo del Bitcoin – la prima e più celebre tra le cryptovalute – ha portato questa valuta a raggiungere, nel corso degli ultimi anni, il valore di centinaia di migliaia di dollari per singolo bitcoin. Tutto questo ha comportato una vera e propria “febbre da cryptovaluta” in tutto il mondo, con centinaia di gruppi e startup entusiasti che hanno iniziato a rilasciare la propria valuta virtuale alternativa.
Questi cambiamenti nei mercati delle cryptovalute hanno inevitabilmente attratto l’attenzione dei cyber criminali, che si stanno attivando per nuove campagne fraudolente che prevedono l’installazione di software per il mining di cryptovaluta su migliaia di PC all’insaputa degli utenti.
Secondo i risultati di un recente studio targato Kaspersky Lab, i criminali che si celano dietro le botnet recentemente scoperte diffondono il software di mining grazie a programmi adware, che le vittime installano volontariamente. Una volta installato sul computer della vittima, il programma adware scarica un componente nocivo: l’installer del miner. Questo componente installa il software di mining e svolge diverse attività affinché il miner possa operare il più a lungo possibile, come:
Tentare di disattivare il software di sicurezza;
Tracciare le applicazioni lanciate e sospendere le attività nel caso in cui venga avviato un programma per il monitoraggio delle attività di sistema o dei processi attivi;
Verificare che una copia del software di mining sia sempre presente sull’hard drive e ripristinarla se viene eliminata.
Le monete virtuali vengono trasferite nei wallet dei criminali, lasciando le vittime alle prese con computer stranamente poco performanti e bollette dell’elettricità lievemente più alte del solito. Secondo quanto osservato da Kaspersky Lab, i criminali si concentrano su due cryptovalute: Zcash e Monero, che offrono un modo affidabile di rendere anonimi i proprietari dei portafogli e le transazioni.
l numero di utenti che hanno incontrato i miner di cryptovaluta è aumentato drasticamente negli ultimi anni. Nel 2016, Kaspersky Lab ha individuato almeno 1.000 computer infettati da un malware che effettuava il mining di Zcash. Grazie alla rapida crescita del costo di Zcash, la botnet permetteva all’epoca di guadagnare 6.000 dollari a settimana. Nel 2017, il numero di utenti colpiti da attacchi di questo tipo ha raggiunto i 1,65 milioni: erano 200.000 nel 2013. Tra i casi più recenti, Kaspersky Lab ha scoperto un network composto da 4.000 macchine che fruttava ai suoi proprietari oltre 30.000 dollari al mese, mentre – in un altro caso – una botnet composta da 5.000 PC permetteva ai criminali di guadagnare oltre 200.000 dollari.
I ricercatori di Kaspersky Lab consigliano agli utenti di adottare le seguenti misure di sicurezza:
Non installare sul proprio PC software sospetti provenienti da fonti non attendibili;
Assicurarsi che la funzionalità di adware detection della propria soluzione di sicurezza sia attiva – potrebbe essere disattivata di default;
Usare una soluzione di Internet Security affidabile per proteggere l’ambiente digitale da tutte le possibili minacce, compresi i miner nocivi;
In caso sia presente un server, assicurarsi che sia protetto da una soluzione di sicurezza, in quanto si tratta di obiettivi redditizi per i criminali grazie alle loro elevate prestazioni di calcolo.
Evgeny Lopatin, Malware Analyst, Kaspersky Lab Il problema principale con i miner nocivi è che è estremamente difficile rilevare in modo affidabile queste attività, poiché il malware usa software di mining assolutamente leciti, che in una situazione normale potrebbero essere stati installati da utenti legittimi. Analizzando queste due nuove botnet abbiamo scoperto un’altra questione preoccupante: gli stessi miner nocivi stanno diventando preziosi nel mercato underground. Abbiamo scoperto che i criminali vendono i cosiddetti ‘miner builder’: software che consentono a chi è disposto a pagare per la versione completa di creare la propria mining botnet. Questo significa che le botnet che abbiamo recentemente identificato non saranno sicuramente le ultime.
