Questo codice malevolo si è rapidamente diffuso in poche settimane in tutto il mondo, da Singapore, all’India, da Taiwan, alla Costa d’Avorio e all’Australia
Gli esperti dell’azienda Fortinet hanno scoperto un nuovo miner, ovvero un malware che utilizza le risorse delle vittime per la produzione di criptovalute, denominato PyRoMineIoT che presenta alcuni aspetti molto interessanti. Innanzitutto, il malware sfrutta l’exploit EternalRomance per la sua diffusione,
EternalRomance è un exploit che è stato sottratto dall’arsenale dell’agenzia di intelligence americana NSA lo scorso anno dal gruppo di hacker Shadow Brokers. Il codice malevolo è poi finito online ed è divenuto parte integrante di numerosi malware che lo utilizzano per aumentare la capacità di diffusione.
Il miner PyRoMineIoT è stato sviluppato per attaccare i dispositivi dell’internet delle cose (IoT), ma uno degli aspetti più interessanti di questo codice è la sua capacità di utilizzare il dispositivo infetto per cercarne altri vulnerabili.
Il codice PyRoMineIoT deriva da quello di un altro miner scoperto in aprile e noto come PyRoMine, quest’ultimo codice malevolo si è rapidamente diffuso in poche settimane in molti paesi del mondo, quali Singapore, India, Taiwan, Costa d’Avorio ed Australia.
PyRoMineIoT è stato migliorato rispetto a PyRoMine attraverso l’implementazione di meccanismi di offuscamento che lo rendono più difficile da individuare, inoltre l’ultima variante di PyRoMine è ospitata sullo stesso indirizzo IP (212 [.] 83.190 [.] 122) a cui è possibile trovare il nuovo malware ed entrambe le varianti sfruttano l’implementazione del codice NSA EternalRomance pubblicata sul sito Web Exploit Database.
PyRoMineIoT viene distribuito come un falso aggiornamento di sicurezza di popolari browser Web.
Una volta che il malware PyRoMineIoT ha compromesso un dispositivo, viene scaricato uno script VBScript offuscato che ha la stessa funzionalità di quello utilizzato dalla variante PyRoMine, ma il suo codice sembra esser meglio organizzato.
Lo script VBScript scarica anche altri componenti, incluso un minatore Monero (XMRig), ma a differenza della variante precedente utilizza nomi casuali per i file.
Leggi anche: C’è una falla di sicurezza nelle webcam: migliaia di dispositivi a rischio in Italia
“Come con la versione precedente di PyRoMine, questa nuova versione è ospitata sullo stesso indirizzo IP 212.83.190.122. Il file scaricato è un eseguibile compilato con PyInstaller . Ciò significa che non è necessario installare Python sulla macchina per eseguire il programma Python. ” recita l’ analisi pubblicata da Fortinet.
Entrambe le varianti impostano un account predefinito con la password P@ ssw0rdf0rme e aggiungono l’account ai gruppi locali “Amministratori”, “Utenti
desktop remoto” e “Utenti”, quindi abilitano Remote Desktop Protocol per connessioni remote ed infine aggiungono una regola al firewall per consentire il traffico attraverso la porta 3389.
Una volta compromesso un dispositivo, PyRoMineIoT tenta di rimuovere la variante PyRoMine se presente.
L’analisi di uno degli indirizzi dei pool associato a questo malware ha rivelato che il gruppo criminale dietro di essa ha già guadagnato circa 5 Monero (circa $ 850).
Come si infettano i dispositivi?
La vittima scarica un falso aggiornamento sotto forma di un archivio .zip contenente un downloader scritto in C# che scarica il miner, un malware basato su Python che sfrutta EternalRomance per diffondere il downloader ed altri componenti malevoli ad altri dispositivi.
“Uno dei componenti scaricati è un malware basato su Python che sfrutta l’exploit NSA ETERNALROMANCE per diffondere l’agente su macchine vulnerabili nella rete. Un altro componente è uno strumento che ruba le credenziali dell’utente dal browser Chrome denominato ChromePass”, continua l’analisi.
“Un altro componente analizza i dispositivi IoT vulnerabili in Iran e Arabia Saudita che utilizzano le credenziali di accesso” admin ” e password.”
L’implementazione EternalRomance raccoglie gli IP delle subnet locali e li utilizza per diffondere il malware usando le credenziali con il nome utente ‘aa’ e password vuota.
Un altro componente utilizzato dal malware è il software legittimo ChromePass che consente di visualizzare le credenziali di Chrome.
Una volta raccolte le credenziali, il malware le salva in formato XML e le su un account sul servizio di archiviazione su cloud DriveHQ.
I cybercriminali puntano sulle criptovalute
Chiudiamo con alcune considerazioni su questo caso, innanzitutto la crescente attenzione della comunità criminale al mondo delle criptovalute. La minaccia inoltre è concepita per sfruttare i dispositivi dell’Internet delle cose, miliardi di macchine potenzialmente reclutabili in attività criminali e per le quali molto spesso sono disattesi i fondamentali di sicurezza.
Infine, un’ultima riflessione va al concetto di militarizzazione del cyber spazio, il fatto che un codice sviluppato da una agenzia di intelligence sia trafugato e finisca di dominio pubblico rappresenta una minaccia per l’intera comunità.
Urgono regole di comportamento condivise tra Stati affinché lo sviluppo e la proliferazione di questi codici sia regolamentato.
