Gli attori malevoli dietro la campagna bloccata da Microsoft puntavano ad installare sulle macchine infette un crypto miner, ovvero un codice per generare criptovalute di tipo Electroneum
La scorsa settimana Microsoft ha annunciato di aver scoperto e bloccato un massiccio attacco contro circa 500.000 sistemi Windows.
La minaccia è stata individuata grazie al motore di machine learning utilizzato dalla soluzione Microsoft Windows Defender Antivirus.
Windows Defender ha inizialmente bloccato più di 80.000 istanze di diversi malware che utilizzavano tecniche di injection avanzate, così come metodi di evasione e meccanismi per ottenere la persistenza sulla macchina compromessa.
Da cosa deriva l’attacco
A sole 12 ore dalla scoperta del malware, gli esperti hanno constatato che circa 500.000 computer sono stati infettati dal malware.
Dalle analisi dei ricercatori Microsoft è subito emerso che i malware responsabili dell’enorme numero di attacchi erano nuove varianti del codice malevolo Dofoil (noto anche come Smoke Loader), un piccolo downloader, ovvero un’applicazione utilizzata per scaricare e installare altri codici malevoli sulla macchina infetta.
Nel caso specifico, gli attori malevoli dietro la campagna bloccata da Microsoft puntavano ad installare sulle macchine infette un crypto miner, ovvero un codice per generare criptovalute di tipo Electroneum.
Il picco in Russia con il 73% delle infezioni
La maggior parte delle infezioni segnalata da Microsoft è stata osservata in Russia (73%), Turchia (18%) e Ucraina (4%).
Il trojan Dofoil utilizza una tecnica di injection nota agli esperti e denominata “process hollowing”, la stessa metodica che è stata recentemente osservata anche dai ricercatori della azienda italiana CSE CybSec in una versione più evoluta implementata da un differente malware.
I meccanismi di injection implementati da i principali malware consentono di inserire codice malevolo in applicazioni e processi legittimi, la variante di Dofoil ad esempio tenta di compromettere l’eseguibile explorer.exe.
Come è avvenuta la campagna di Dofoil
“I trojan, che sono nuove varianti di Dofoil (noto anche come Smoke Loader), trasportano un miner. Nelle 12 ore successive sono state osservete oltre 400.000 istanze del malware, il 73% delle quali in Russia. La Turchia ha rappresentato il 18% delle infezioni mentre l’Ucraina il 4%”, si legge nel rapporto pubblicat da Microsoft.
“La campagna di Dofoil che abbiamo rilevato il 6 marzo è iniziata con un trojan che esegue processo di mining di cryptovaluta nascosto nell’ eseguibile explorer.exe. Process hollowing è una tecnica di iniezione di codice che comporta la generazione di una nuova istanza del processo legittimo (in questo caso c: windows syswow64 explorer.exe) e quindi la sostituzione del codice legittimo con il malware. “
L’analisi del malware Dofoil ha rivelato che utilizza un’applicazione di mining personalizzata che supporta NiceHash in modo da consentire ai sistemi infetti di generare diverse criptovalute anche se i campioni di malware analizzati da Microsoft erano stati sviluppati per produrre crittovaluta Electroneum.
Il malware riesce a garantirsi la persistenza su un sistema infetto tramite il registro di Windows, in modo che a ciascun riavvio della macchina venga eseguito il codice malevolo di cui una copia è memorizzata in una cartella della macchina compromessa. Per garantirsi l’esecuzione all’avvio, il malware crea / modifica una chiave del Registro di sistema che punta all’eseguibile del codice malevolo memorizzato sulla macchina.
Gli attori delle minacce dietro la campagna Dofoil hanno utilizzato un server di comando e controllo (C&C) ospitato su un’infrastruttura di rete decentralizzata Namecoin.
“Il server C & C istruisce il malware per connettersi o disconnettersi ad un indirizzo IP specifico; scaricare un file da un determinato URL ed eseguire o terminare un file specifico; o restare dormiente per un periodo di tempo specifico.” aggiunge Microsoft.
Attacchi in aumento
Microsoft ha confermato che Windows Defender Antivirus è un componente fondamentale per il rilevamento e il blocco delle minacce avanzate, ed il successo ottenuto contro quest’ultima campagna ne è la dimostrazione. Purtroppo il crescente interesse nelle cripto valute del crimine informatico sarà responsabile di un continuo aumento di questo tipo di attacchi.
Il numero di campagne malware finalizzato alla generazione di cripto valute è destinato ad aumentare inesorabilmente così come il numero di sistemi infetti, soprattutto server.
Proprio mentre scrivevo questo post ho appreso che i ricercatori del gruppo ISC SANS e della società Anti-DDoS Imperva hanno scoperto due distinte campagne di mining che stanno prendendo di mira server Windows Server, Redis e Apache Solr esposti in rete.
