12 dicembre 2013

Doctor Web — azienda russa per la sicurezza informatica — avverte della propagazione del Trojan.BtcMine.221, studiato per il mining della cripto-moneta Litecoin. Il trojan è mascherato da diverse applicazioni utili – ad esempio, da un'estensione per i browser che aiuterebbe l'utente nella scelta degli articoli acquistabili online.

Questo malware si propaga su alcuni siti web appartenenti ai malintenzionati. Gli autori dell'estensione Shopping Suggestion affermano che questo plugin riconosca in modo automatico gli articoli guardati dall'utente in vari negozi elettronici e trovi in Internet gli stessi articoli offerti a un prezzo più basso. Inoltre, il trojan, che si propaga già da un anno, può essere mascherato da un lettore VLC, da un programma per la navigazione anonima sulla rete o da altre applicazioni. Il programma malevolo nascosto sotto le dichiarate funzioni utili è il Trojan.BtcMine.221 studiato per eseguire il mining (estrazione) della cripto-moneta Litecoin utilizzando all'insaputa dell'utente le capacità del computer infettato. Dobbiamo notare che le firme digitali sono state ottenute dagli sviluppatori per le applicazioni legittime da nomi analoghi, però anche il trojan ha le stesse firme digitali.

Secondo i dati statistici raccolti da Doctor Web, per il momento la botnet formata mediante il Trojan.BtcMine.221 include 311.477 computer infetti. Il numero maggiore (56.576) è negli USA, al secondo posto si trova il Brasile con 31.567 bot, al terzo la Turchia (25.077 bot). Nella Russia risultano 22.374 installazioni registrate del trojan, quarto posto. L'immagine sotto mostra la distribuzione delle macchine infette per paese.

Nella botnet sono attivi in media 203.406 computer al giorno. Dal 10 al 12 dicembre alla rete dannosa hanno aderito 49.140 bot nuovi e soltanto 6.028 trojan sono stati rimossi dai computer infetti.

La botnet del Trojan.BtcMine.221 è composta da alcune sottoreti, diverse per la versione del programma malevolo installato sul computer. Per eseguire il mining della cripto-moneta, alcune versioni del trojan utilizzano la CPU, altre il processore grafico. Ad esempio, in una delle sottoreti sono attivi circa 65.000 computer. Il reddito medio giornaliero dei malintenzionati ammonta a 1.454,53 dollari statunitensi. La potenza di calcolo media (hash-rate) di questa sottorete è 167.647 KH/sec, e le oscillazioni giornaliere di questo indicatore sono visualizzate nel grafico sottostante:

Consigliamo agli utenti: se sospettate che questo trojan abbia infettato il vostro computer, eseguite una scansione completa del sistema operativo e dei dischi fissi del computer tramite lo scanner Dr.Web o tramite l'utility gratuita Dr.Web CureIt!.