Una nuova campagna di malware di massa sta infettando gli utenti con un miner di criptovalute chiamato SilentCryptoMiner, mascherandolo come uno strumento progettato per aggirare blocchi e restrizioni su servizi online. La società di cybersecurity russa Kaspersky ha dichiarato che questa attività fa parte di una tendenza più ampia in cui i cybercriminali sfruttano sempre più gli strumenti Windows Packet Divert (WPD) per distribuire malware sotto le sembianze di programmi per bypassare restrizioni.
Questi software vengono spesso distribuiti sotto forma di archivi con istruzioni di installazione testuali, in cui gli sviluppatori raccomandano di disabilitare le soluzioni di sicurezza, citando falsi positivi. Questo gioca a favore degli attaccanti, permettendo loro di persistere in un sistema non protetto senza il rischio di essere rilevati.
L’approccio è stato utilizzato in schemi che propagano stealer, strumenti di accesso remoto (RAT), trojan che forniscono accesso remoto nascosto e miner di criptovalute come NJRat, XWorm, Phemedrone e DCRat. L’ultima evoluzione di questa tattica è una campagna che ha compromesso oltre 2.000 utenti russi con un miner camuffato da strumento per aggirare blocchi basati su deep packet inspection (DPI). Il programma è stato pubblicizzato sotto forma di un link a un archivio dannoso tramite un canale YouTube con 60.000 iscritti.
Gli archivi trappola sono stati trovati contenere un eseguibile extra, con uno dei batch script legittimi modificato per eseguire il binario tramite PowerShell. Nel caso in cui il software antivirus installato nel sistema interferisca con la catena di attacco e cancelli il binario dannoso, agli utenti viene mostrato un messaggio di errore che li invita a riscaricare il file e a eseguirlo dopo aver disabilitato le soluzioni di sicurezza.
L’eseguibile è un loader basato su Python progettato per recuperare un malware di fase successiva, un altro script Python che scarica il payload del miner SilentCryptoMiner e stabilisce la persistenza, ma non prima di controllare se è in esecuzione in una sandbox e configurare le esclusioni di Windows Defender.
Il miner, basato sul miner open-source XMRig, è imbottito con blocchi di dati casuali per gonfiare artificialmente la dimensione del file a 690 MB e ostacolare l’analisi automatica da parte delle soluzioni antivirus e delle sandbox. Per la furtività, SilentCryptoMiner utilizza il process hollowing per iniettare il codice del miner in un processo di sistema (in questo caso, dwm.exe).
Fonte: The Hackers News
