24 gennaio 2018

A luglio 2017 gli specialisti Doctor Web hanno rilevato una vulnerabilità zero day nelle applicazioni server Cleverence Mobile SMARTS Server. Gli sviluppatori del software hanno rilasciato un aggiornamento per risolvere questa vulnerabilità, però è ancora utilizzata dai malfattori per l'estrazione di cryptovalute (mining).

Le applicazioni della famiglia Cleverence Mobile SMARTS Server sono progettate per l'automatizzazione di negozi, magazzini, uffici e stabilimenti. Sono utilizzate sui PC con Microsoft Windows. Alla fine di luglio dell'anno scorso gli specialisti Doctor Web hanno rilevato una vulnerabilità critica in uno dei componenti di Cleverence Mobile SMARTS Server, attraverso la quale i malfattori ottengono accessi non autorizzati a server e installano su di essi i trojan della famiglia Trojan.BtcMine progettati per l'estrazione di cryptovalute (il mining). Abbiamo segnalato subito questa vulnerabilità agli sviluppatori della suite software.

Inizialmente i criminali informatici utilizzavano diverse versioni del miner rilevate da Dr.Web come Trojan.BtcMine.1324, Trojan.BtcMine.1369 e Trojan.BtcMine.1404. I malintenzionati inviano su un server su cui funziona il software Cleverence Mobile SMARTS Server una richiesta appositamente formata e di conseguenza viene eseguito il comando contenuto in questa richiesta. I cracker usano il comando per creare nel sistema un nuovo utente con i privilegi di amministratore e attraverso tale account ottengono l'accesso non autorizzato al server attraverso il protocollo RDP. In alcuni casi i criminali informatici terminano processi antivirus in esecuzione sul server, utilizzando l'utility Process Hacker. Una volta ottenuto l'accesso al sistema, loro ci installano un trojan miner.

Questo trojan è una libreria dinamica che viene salvata dai criminali informatici in una cartella temporanea e quindi viene avviata. Il programma malevolo sostituisce con sé uno dei servizi di sistema Windows legittimi selezionando la "vittima" in base a una serie di parametri; il file del servizio originale viene rimosso. Quindi il servizio malevolo ottiene una serie di privilegi di sistema e imposta il flag critico per il suo processo. In seguito il trojan salva su disco i file necessari per il suo funzionamento e inizia a estrarre una cryptovaluta sfruttando le risorse hardware del server infettato.

Benché gli sviluppatori di Cleverence Mobile SMARTS Server abbiano rilasciato tempestivamente un aggiornamento che copre la falla nella suite software, i malfattori approfittano del fatto che parecchi amministratori di server ritardano la sua installazione. I criminali informatici continuano a installare sui server hackerati i trojan miner, modificando permanentemente le loro versioni. Dalla seconda metà di novembre 2017 i malfattori hanno iniziato a utilizzare un trojan fondamentalmente nuovo che loro stanno perfezionando fino ad oggi. Questo programma malevolo è stato denominato Trojan.BtcMine.1978, è studiato per estrarre le cryptovalute Monero (XMR) e Aeon.

Il miner si avvia come un processo di sistema critico con il nome visualizzato «Plug-and-Play Service», il tentativo di chiusura di tale processo manda in crash Windows dopo di che appare la schermata blue (BSOD). Dopo l'avvio Trojan.BtcMine.1978 cerca di eliminare i servizi degli antivirus Dr.Web, Windows Live OneCare, Kaspersky Lab, ESET Nod32, Emsisoft Anti-Malware, Avira, 360 Total Security e Windows Defender. Quindi il miner cerca processi degli antivirus in esecuzione sul computer attaccato. Se ne trova alcuni, esso decripta, salva su disco ed avvia un driver attraverso cui cerca di terminare questi processi. Antivirus Dr.Web rileva con successo e blocca il driver Process Hacker, utilizzato da Trojan.BtcMine.1978, questo driver è stato aggiunto ai database dei virus Dr.Web come uno strumento di hacking (hacktool).

Ottenendo dalla propria configurazione una lista di porte Trojan.BtcMine.1978 cerca un router nell'ambiente di rete. Quindi attraverso il protocollo UPnP esso reindirizza la porta TCP del router sulle porte ottenute dalla lista e ci si connette in attesa di una connessione attraverso il protocollo HTTP. Il malware memorizza le impostazioni necessarie per il suo funzionamento nel registro di sistema di Windows.

Nel corpo del miner è contenuta una lista di indirizzi IP dei server di gestione, i quali esso controlla per rilevarne uno attivo. In seguito il trojan configura sulla macchina infetta server proxy che verranno utilizzati per il mining. Inoltre, su comando dei malintenzionati, Trojan.BtcMine.1978 avvia PowerShell e reindirizza il suo input-output su un utente remoto che si connette al nodo compromesso. Questo permette ai malintenzionati di eseguire diversi comandi sul server infetto.

Dopo aver effettuato queste azioni, il trojan integra in tutti i processi in esecuzione un modulo progettato per il mining. Appunto il primo processo in cui questo modulo inizia a funzionare verrà utilizzato per l'estrazione di Monero (XMR) e Aeon.

Nonostante il fatto che Trojan.BtcMine.1978 disponga di un meccanismo che permette di terminare forzatamente i processi dei programmi antivirus, i nostri utenti possono sentirsi al sicuro in quanto l'auto-protezione di Antivirus Dr.Web non lascia che il trojan disturbi l'operatività dei componenti critici. Agli amministratori dei server che utilizzano Cleverence Mobile SMARTS Server gli specialisti Doctor Web raccomandano l'installazione di tutti gli aggiornamenti di sicurezza rilasciati dagli sviluppatori.