Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Massiva campagna distribuisce miner di Monero attraverso siti web compromessi: un'analisi dal Lab di Sicurezza Quick Heal
- VENERDÌ 24 NOVEMBRE 2017


La crescita continua degli attacchi ransomware ci ha accompagnato per almeno gli ultimi 3 anni, ma oggi stiamo notando un repentino cambiamento. Sembra infatti che la continua rivalutazione della criptovaluta, in particolare i Bitcoin, stia portando i cyber-criminali a fare del mining di criptovaluta l'attività principale (abbiamo già parlato del problema del mining qui

I miner di criptovaluta stanno diventando cioè uno dei principali vettori di attacco per i cyber-criminali. Osservando il livello attuale di complessità raggiunto dal mining, occorre avere a disposizione un vero e proprio pool di computer per una estrazione efficace di criptovaluta. Per costruirsi una fattoria (un gruppo) di macchine per il mining i cyber-criminali infettano i pc con un miner malware: un attacco di questo tipo può essere indicato come "mining diffuso". 

In questo post parleremo della campagna, attualmente in corso, di mining diffuso per la criptovaluta chiamata Monero. Monero (XMR) è una criptovaluta open source che è stata lanciata nell'Aprile del 2014: il mining di Monero richiede già, ovviamente un massivo potenziale di calcolo. Scopo dell'attacco è sfruttare la potenza di calcolo del dispositivo dell'utente per minare appunto la criptovaluta target (lo stesso meccanismo vale infatti per tutte le criptovalute, compresi i famosi Bitcoin, ma anche Ethereum ecc...). Per raggiungere l'obiettivo, gli attaccanti hanno compromesso svariati siti web, la maggior parte ospitati da WordPress, per distribuire il miner di Monero. Secondo i dati telemetrici in nostro possesso, i siti web compromessi includono però anche siti governativi, di big della farmaceutica e istituti educativi di vario livello. 

La catena di attacco.
L'infografica sotto mostra la catena di attacco di questa campagna: 


In questa campagna vengono attaccati siti web con vulnerabilità. Una volta eseguito l'exploit delle stesse, un JavaScript dannoso offuscato viene iniettato nelle pagine web. Quando un utente visita il sito web compromesso, il JavaScript iniettato induce l'utente a scaricare un update dei font falso. Una volta eseguito il falso update, questo scarica il miner di Monero e lo esegue sul sistema dell'utente. Questo attacco bersaglia attualmente solo gli untenti dei browser Google Chrome e Firefox. 

Ora vi accompagniamo in un piccolo viaggio attraverso le fasi di attacco: le sessioni catturate sotto mostrano la sequenza di attacco al sito web di una azienda farmaceutica. 


Il Javascript iniettato mostra il pop up per l'update del font. L'analisi è stata condotta sul browser Google Chrome. 


Il click su tasto Update mostra un pop up con le istruzioni per l'update. Scarica anche un file .zip dannoso nella cartella "Download" di Chrome. Le istruzioni mostrate nel pop up chiedono all'itente di eseguire il file. 


Il file .zip scaricato, solitamente "ttf.zip" reca un file "ttf.js" dannoso. Quando l'user fa click sul file "ttf.js", questo esegue il file cscript.exe e scarica l'eseguibile dannoso, il miner di Monero. 

L'analisi del JavaScript
Il JavaScript iniettato è offuscato. Consiste in una routine di de-offuscamento e in una lunga stringa che è codificata con Base64. 



Il de offuscamento del codice sopra, rivela questo:


Si nota come sia previsto il redirect dell'utente verso l'URL dannoso sotto: 
“hxxp://bmooc[.]net/wp-content/service/cat[.]php?m=f”

L'URL sopra riportato preleva un altro codice JavaScript dannoso simile al seguente:


Questo JavaScript carica il pop-up solo sui browser Google Chrome e Firefox. Questo induce appunto l'utente a scaricare l'update fake e indica come installarlo. 

L'attività di mining post infezione
Se l'attacco va a buon fine, il miner di Monero genera il traffico post infezione mostrato sotto:


Quando abbiamo eseguito questa analisi, il server C&C non ha risposto come ci saremmo aspettati. 

Usando il vecchio trucco dei siti con vulnerabilità conosciute che vengono compromessi, il rischio è che questa tecnica abbia un potenziale infettivo di massa. Nei fatti la dimensione ottimale per l'attaccante che necessita di grande potere di calcolo per il mining. Consigliamo ai nostri utenti di rimanere protetti mantenendo gli antivirus aggiornati agli ultimi update di sicurezza. 

Indicatori di compromissione
bmooc[.]net
buyorganicvisitors[.]com
47D3C7B7510F7AA962B184CBF41EF630


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2021 nwk - Privacy Policy - Cookie Policy - Login