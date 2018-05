Lunedì 7 maggio 2018 - 18:08

MassMiner, nuovo malware per il mining di criptovalute

Scoperto da ricercatori di Alien Vault attacca server vulnerabili

Roma, 7 mag. (askanews) – A conferma di una delle maggiori tendenze del 2018 nel campo delle minacce informatiche, i ricercatori di Alien Vault hanno identificato una nuova famiglia di malware per il mining di criptovalute, battezzata MassMiner, che si diffonde come un worm sfruttando un gran numero di exploit per diversi sistemi e server.

A partire da una macchina Windows infetta, MassMiner – riporta il sito del Cert Nazionale – si diffonde inizialmente sulla rete locale, prima di tentare di propagarsi attraverso Internet. Sono state individuate diverse versioni di MassMiner attive in-the-wild.

Il vettore iniziale di infezione è rappresentato da uno script VBScript con funzione di downloader (downloader.exe) che scarica un componente dropper che a sua volta si connette ad un URL specifico da cui scarica e copia il payload del malware (taskhost.exe).

Una volta lanciato, MassMiner effettua le seguenti azioni malevole: diviene persistente copiando sé stesso in “C:Windowsimetaskhost.exe” e nella cartella di avvio dell’utente; pianifica attività per eseguire i suoi componenti; modifica ACL per ottenere l’accesso completo a determinati file nel sistema; disattiva il firewall di Windows.

MassMiner include un fork di MassScan, uno strumento che può eseguire la scansione di Internet in meno di 6 minuti. Questo tool viene utilizzato per individuare server vulnerabili sui quali diffondersi ulteriormente. MassScan include exploit per vulnerabilità note.

Inoltre, il malware utilizza un tool chiamato SQLck.exe per tentare di accedere a DBMS Microsoft SQL Server mediante attacchi di forza bruta. Uno degli esemplari analizzati installa anche la backdoor Gh0st.

MassMiner sfrutta questi exploit per installarsi sui server vulnerabili. Una volta installato, il malware si connette ad un server C&C dal quale scarica un file di configurazione contenente le seguenti informazioni: l’indirizzo del server da cui scaricare aggiornamenti; l’eseguibile da utilizzare per infettare altre macchine; il portafoglio e la mining pool a cui inviare la criptovaluta generata.

In caso il server non sia disponibile, MassMiner è in grado di utilizzare una configurazione predefinita. Il malware utilizza codice derivato da XMRig per estrarre la criptovaluta Monero (XMR).

(Fonte: Cyber Affairs)