2 agosto 2018

I programmi malevoli per la produzione di criptovalute senza la conoscenza dell'utente sono molto popolari tra i criminali informatici. La maggior parte dei simili trojan è creata per il sistema operativo Windows, e sono molti più rari i miner di criptovalute orientati ai dispositivi con i sistemi operativi della famiglia Linux. Ma proprio tale programma malevolo è stato rilevato recentemente dagli analisti di virus Doctor Web.

I programmi malevoli e le utility per la produzione di criptovalute, di cui parliamo in questo articolo, sono stati caricati su uno dei nostri "honeypot" (in inglese "vasetto di miele") — server speciali utilizzati dagli specialisti Doctor Web come esca per i malintenzionati. I primi simili attacchi ai server con Linux sono stati registrati dagli analisti di virus all'inizio di maggio 2018. I criminali informatici si connettevano a un server tramite il protocollo SSH, trovavano il login e la password con un attacco a dizionario (bruteforce) e dopo l'autenticazione sul server disattivavano l'utility iptables che gestisce il funzionamento del firewall. Quindi i malintenzionati caricavano sul server attaccato una utility miner di criptovalute e un file di configurazione per essa. Per l'avvio dell'utility loro modificavano il contenuto del file /etc/rc.local, dopodiché terminavano la connessione.

All'inizio di giugno i criminali informatici hanno cambiato questo schema e hanno iniziato ad utilizzare un programma malevolo che è stato aggiunto ai database dei virus Dr.Web sotto il nome di Linux.BtcMine.82. Questo trojan è scritto nel linguaggio Go ed è un dropper nel cui corpo viene conservato un miner di criptovalute compresso. Il dropper lo salva su disco e lo esegue, il che semplifica notevolmente lo scenario di attacco. Anche l'indirizzo del portafoglio a cui viene trasferita la criptovaluta minata è trascritto nel corpo del programma malevolo.

Gli analisti di virus hanno esaminato un server appartenente ai malintenzionati da cui veniva scaricato questo trojan e hanno scoperto su di esso diversi miner per il sistema operativo Windows.

La versione del miner di criptovalute per Windows è realizzata in forma di un archivio RAR autoestraente contenente un file di configurazione, diversi script VBS per l'avvio del miner e l'utility miner stessa. Dopo l'avvio dell'archivio, l'utility viene decompressa nella cartella %SYSTEMROOT%\addins e viene registrata come un servizio con il nome SystemEsinesBreker.

Le versioni del miner per i sistemi operativi Windows a 32 e 64 bit vengono rilevate da Antivirus Dr.Web come campioni della famiglia Tool.BtcMine. I nostri utenti sono completamente protetti dalle azioni di questi programmi malevoli.

Informazioni sul trojan