Alcuni giorni fa i ricercatori Microsoft hanno individuato un tentativo di infezione di oltre 400.000 computer attraverso il Malware “Dofoil”, noto anche come “Smoke Loader”, un software di mining di cryptovaluta, ossia un programma malevolo che in modo subdolo utilizza la potenza di calcolo delle CPU per creare cryptovaluta che finirà nelle tasche dei criminali. Nel caso appena descritto veniva prodotta maggiormente la moneta elettronica “Electroneum”
La comunità scientifica sta assistendo in quest’ultimo periodo, ma il trend è cominciato già l’anno scorso, ad una rapida espansione del Malware di Mining che sembra voglia prendere il posto del Ransomware lasciandolo in secondo piano. Il motivo è presto spiegato. Questo tipo di malware, e ce ne sono già molte varianti, di norma non fa danni evidenti al pc della vittima, come fanno invece i ransomware, e riesce a rimanere nascosto per molto tempo sfruttando le risorse del processore.
L’attività di mining è, in genere, un’attività legittima, che permette di produrre cripto-valuta (per lo più Bitcoin), ma è estremamente costosa quando se ne voglia produrne quantità utile. Si basa infatti sulla potenza del processore, anche quello grafico, e ovviamente sulla corrente elettrica utilizzata per tenere accese le macchine. Se questi costi li demandassimo a migliaia di computer di altri utenti, capiamo benissimo perché i criminali trovano vantaggioso creare dei malware che producano moneta elettronica.
Si stima che i malware di mining stiano fruttando nelle tasche dei criminali almeno quanto abbiano fruttato i ransomware nello stesso periodo di tempo dalla loro uscita. Per questo motivo si teme, e se ne sta avendo conferma, che i criminali utilizzeranno tecniche sempre più evolute e sofisticate per veicolare questi software malevoli.
Un utente può incappare in questo malware scaricando adware (programmi gratuiti con pubblicità), applicazioni craccate, software pirata, o perché indotto a scaricare finti programmi legittimi che una volta installati nel computer lo infetteranno segretamente apparendo poi, nel sistema, come programmi legittimi. Tale malware potrebbe anche collegarsi ad un “server di comando e controllo remoto (C&C)” rendendo la macchina parte di una Botnet, oppure scaricare malware aggiuntivo.
Inoltre, a dimostrazione di come le crypto-monete siano ormai nell’obiettivo dei criminali (e come non potrebbe essere visto che queste sono famose per essere non tracciabili e non nominative??) il ricercatore di sicurezza informatica Troy Mursch nel suo “Bad Packets Report” dichiara che sono migliaia i siti internet infettati dai criminali (si stima oltre 30.000) e che producono crypto-moneta sfruttando la potenza hardware degli utenti che accedono al sito. In genere si chiama Cryptojacking l’attività dei criminali nello sfruttare la potenza di calcolo inutilizzata dei processori, SOC e acceleratori grafici per fare il mining di monete virtuali.
Immagine dell’ENISA sul funzionamento del Cryptojacking.
Consigliamo di tenere alta la guardia ribadendo gli avvisi più elementari di sicurezza informatica:
Per i computer delle aziende e delle abitazioni
- Utilizzare e tenere aggiornate soluzioni anti-malware evolute e moderne (non devono basarsi solo sul controllo delle firme) ed eseguire scansioni periodiche anti-malware;
- Non visitare siti sospetti o aprire programmi scaricati sospetti;
- Se si notano comportamenti anomali del computer o eccessivi rallentamenti rivolgersi agli esperti;
Per i portali Web
- Tenere aggiornati i portali Web, i loro componenti e moduli. Non installare applicazioni di terze parti a meno che non se ne conosca già la sicurezza.
In ogni caso consigliamo periodici audit di sicurezza, con scansioni del traffico di rete, delle vulnerabilità e degli interi siti web. Solo così si potrà rilevare la presenza di software dannoso che le soluzioni anti-malware potrebbero non rilevare.
I nostri esperti di Sicurezza e il nostro Operations Center saranno lieti di aiutarvi per qualsiasi esigenza. Contattateci per una proposta di verifica sullo stato di sicurezza della Vostra Rete e del Sito Web.