La crescita continua degli attacchi ransomware ci ha accompagnato per almeno gli ultimi 3 anni, ma oggi stiamo notando un repentino cambiamento. Sembra infatti che la continua rivalutazione della criptovaluta, in particolare i Bitcoin, stia portando i cyber-criminali a fare del mining di criptovaluta l'attività principale (abbiamo già parlato del problema del mining qui) 

 

I miner di criptovaluta stanno diventando cioè uno dei principali vettori di attacco per i cyber-criminali. Osservando il livello attuale di complessità raggiunto dal mining, occorre avere a disposizione un vero e proprio pool di computer per una estrazione efficace di criptovaluta. Per costruirsi una fattoria (un gruppo) di macchine per il mining i cyber-criminali infettano i pc con un miner malware: un attacco di questo tipo può essere indicato come "mining diffuso". 

 

In questo post parleremo della campagna, attualmente in corso, di mining diffuso per la criptovaluta chiamata Monero. Monero (XMR) è una criptovaluta open source che è stata lanciata nell'Aprile del 2014: il mining di Monero richiede già, ovviamente un massivo potenziale di calcolo. Scopo dell'attacco è sfruttare la potenza di calcolo del dispositivo dell'utente per minare appunto la criptovaluta target (lo stesso meccanismo vale infatti per tutte le criptovalute, compresi i famosi Bitcoin, ma anche Ethereum ecc...). Per raggiungere l'obiettivo, gli attaccanti hanno compromesso svariati siti web, la maggior parte ospitati da WordPress, per distribuire il miner di Monero. Secondo i dati telemetrici in nostro possesso, i siti web compromessi includono però anche siti governativi, di big della farmaceutica e istituti educativi di vario livello. 

L'infografica sotto mostra la catena di attacco di questa campagna: 

 

In questa campagna vengono attaccati siti web con vulnerabilità. Una volta eseguito l'exploit delle stesse, un JavaScript dannoso offuscato viene iniettato nelle pagine web. Quando un utente visita il sito web compromesso, il JavaScript iniettato induce l'utente a scaricare un update dei font falso. Una volta eseguito il falso update, questo scarica il miner di Monero e lo esegue sul sistema dell'utente. Questo attacco bersaglia attualmente solo gli untenti dei browser Google Chrome e Firefox. 

 

Ora vi accompagniamo in un piccolo viaggio attraverso le fasi di attacco: le sessioni catturate sotto mostrano la sequenza di attacco al sito web di una azienda farmaceutica. 

 

 

Il Javascript iniettato mostra il pop up per l'update del font. L'analisi è stata condotta sul browser Google Chrome. 

 

 

Il click su tasto Update mostra un pop up con le istruzioni per l'update. Scarica anche un file .zip dannoso nella cartella "Download" di Chrome. Le istruzioni mostrate nel pop up chiedono all'itente di eseguire il file. 

 

 

Il file .zip scaricato, solitamente "ttf.zip" reca un file "ttf.js" dannoso. Quando l'user fa click sul file "ttf.js", questo esegue il file cscript.exe e scarica l'eseguibile dannoso, il miner di Monero. 

 

Il JavaScript iniettato è offuscato. Consiste in una routine di de-offuscamento e in una lunga stringa che è codificata con Base64. 

 

 

Il de offuscamento del codice sopra, rivela questo:

 

 

Si nota come sia previsto il redirect dell'utente verso l'URL dannoso sotto: 

 

L'URL sopra riportato preleva un altro codice JavaScript dannoso simile al seguente:

 

Questo JavaScript carica il pop-up solo sui browser Google Chrome e Firefox. Questo induce appunto l'utente a scaricare l'update fake e indica come installarlo. 

L'attività di mining post infezione

Se l'attacco va a buon fine, il miner di Monero genera il traffico post infezione mostrato sotto:

 

Quando abbiamo eseguito questa analisi, il server C&C non ha risposto come ci saremmo aspettati. 

 

Usando il vecchio trucco dei siti con vulnerabilità conosciute che vengono compromessi, il rischio è che questa tecnica abbia un potenziale infettivo di massa. Nei fatti la dimensione ottimale per l'attaccante che necessita di grande potere di calcolo per il mining. Consigliamo ai nostri utenti di rimanere protetti mantenendo gli antivirus aggiornati agli ultimi update di sicurezza.