Nuova Campagna di Cryptojacking Identificata da Darktrace
La società di cybersecurity Darktrace ha identificato una nuova campagna di cryptojacking progettata per bypassare Windows Defender e distribuire software di mining di criptovalute. Questa campagna, segnalata per la prima volta alla fine di luglio, coinvolge una catena di infezione multi-stadio che sfrutta di nascosto la potenza di elaborazione di un computer per minare criptovalute. I ricercatori di Darktrace, Keanna Grelicha e Tara Gould, hanno condiviso i dettagli in un rapporto pubblicato su crypto.news.
Dettagli Tecnici della Campagna
Secondo i ricercatori, la campagna prende di mira specificamente i sistemi basati su Windows, sfruttando PowerShell, la shell a riga di comando e linguaggio di scripting integrato di Microsoft. Attraverso PowerShell, gli attori malevoli possono eseguire script dannosi e ottenere accesso privilegiato al sistema host. Questi script sono progettati per essere eseguiti direttamente nella memoria di sistema (RAM), il che rende difficile per gli strumenti antivirus tradizionali, che si basano tipicamente sulla scansione dei file sui dischi rigidi, rilevare il processo dannoso.
Successivamente, gli attaccanti utilizzano il linguaggio di programmazione AutoIt, uno strumento di Windows comunemente usato dai professionisti IT per automatizzare compiti, per iniettare un caricatore dannoso in un processo Windows legittimo. Questo caricatore scarica ed esegue un programma di mining di criptovalute senza lasciare tracce evidenti sul sistema. Come ulteriore misura di sicurezza, il caricatore è programmato per eseguire una serie di controlli ambientali, come la scansione di segni di un ambiente sandbox e l’ispezione dell’host per prodotti antivirus installati. L’esecuzione procede solo se Windows Defender è l’unica protezione attiva. Inoltre, se l’account utente infetto non ha privilegi amministrativi, il programma tenta di bypassare il Controllo Account Utente per ottenere accesso elevato.
Impatto e Contenimento dell’Attacco
Quando queste condizioni sono soddisfatte, il programma scarica ed esegue NBMiner, un noto strumento di mining di criptovalute che utilizza l’unità di elaborazione grafica di un computer per minare criptovalute come Ravencoin (RVN) e Monero (XMR). In questo caso, Darktrace è riuscita a contenere l’attacco utilizzando il suo sistema di Risposta Autonoma, impedendo al dispositivo di effettuare connessioni in uscita e bloccando connessioni specifiche a endpoint sospetti.
“Poiché le criptovalute continuano a crescere in popolarità, come dimostrato dall’attuale alta valutazione della capitalizzazione di mercato globale delle criptovalute (quasi 4 trilioni di USD al momento della scrittura), gli attori delle minacce continueranno a vedere il cryptomining come un’impresa redditizia,” hanno scritto i ricercatori di Darktrace.
Campagne Precedenti e Tattiche di Ingegneria Sociale
A luglio, Darktrace aveva segnalato una campagna separata in cui gli attori malevoli utilizzavano tattiche complesse di ingegneria sociale, come impersonare aziende reali, per ingannare gli utenti a scaricare software alterati che distribuiscono malware per il furto di criptovalute. A differenza dello schema di cryptojacking sopra menzionato, questo approccio mirava sia ai sistemi Windows che a quelli macOS ed era eseguito dalle stesse vittime ignare che credevano di interagire con membri interni dell’azienda.
