21 agosto 2017

Sono conosciuti dal 2011 i trojan miner che, per estrarre le criptovalute, sfruttano le risorse di calcolo dei computer senza la conoscenza dei loro proprietari. Nel corso degli anni l'interesse dei malintenzionati verso tali software non si è indebolito, il che viene confermato dalla comparsa di nuovi programmi malevoli di questo tipo.

I trojan miner compaiono con regolarità, e in questo processo gli analisti dei virus Doctor Web hanno notato un'importante tendenza: i creatori di tali software sempre più spesso si orientano alla piattaforma Linux. Oggi sono diffusi su larga scala dispositivi "intelligenti" basati su Linux che vengono utilizzati senza che i loro proprietari cambiassero le loro impostazioni predefinite, prima di tutto — il login e la password dell'amministratore. Proprio per questo la violazione di tali dispositivi non rappresenta un grande problema per i criminali informatici.

Un nuovo trojan miner, progettato per il funzionamento sull'SO Linux, è stato denominato Linux.BtcMine.26. Lo schema della sua diffusione è simile al meccanismo di infezione dal trojan Linux.Mirai: i malfattori si connettono con un dispositivo attaccato attraverso il protocollo Telnet, selezionando il login e la password, dopodiché ci salvano un programma downloader. In seguito avviano questo programma da terminale tramite un comando console e quindi sul dispositivo viene scaricato il trojan Linux.BtcMine.26.

L'analisi del downloader del miner ha mostrato una curiosa particolarità di quest'applicazione: nel suo codice è trovato più volte l'indirizzo del sito krebsonsecurity.com appartenente al noto esperto di sicurezza informatica Brian Krebs. A quanto pare, l'autore del trojan è un suo sostenitore segreto.

Il trojan è progettato per il mining di Monero (XMR) — una criptovaluta creata nel 2014. Al momento sono conosciuti i build di Linux.BtcMine.26 per le architetture hardware x86-64 e ARM. I segni caratteristici della presenza del miner possono essere la diminuzione delle prestazioni del dispositivo e l'aumento del rilascio di calore nel corso di funzionamento. Il metodo più sicuro per prevenire l'infezione da tali trojan è modificare tempestivamente il login e la password predefiniti sul dispositivo, utilizzando le password complesse resistenti agli attacchi a dizionario. È inoltre consigliabile limitare la possibilità di modificare le impostazioni del dispositivo in remoto attraverso le connessioni da esterno.

La firma antivirale di Linux.BtcMine.26 è stata aggiunta ai database di Antivirus Dr.Web per Linux, dunque questo trojan non rappresenta pericolo per i nostri utenti.