Alla fine di gennaio,
gli esperti di Kaspersky hanno rilevato un drastico aumento di applicazioni fake che installano miner di criptovaluta Monero sui computer degli utenti. Le applicazioni vengono distribuite attraverso siti web dannosi che appaiono tra i risultati di ricerca della vittima. Secondo gli esperti, potrebbe essere il proseguimento di una campagna dannosa che ha avuto luogo durante l’estate e già stata segnalata dai membri della community di sicurezza. In quell'occasione, i criminali informatici avevano distribuito i miner nascosti in finti programmi di installazione di un antivirus.
Durante la seconda ondata di attacchi nel 2021,
l'installer XMRig ha assunto le sembianze di diverse nuove applicazioni, come gli ad blocker AdShield e Netshield e il servizio OpenDNS. Il malware viene distribuito sfruttando i nomi di famose applicazioni legittime per sistemi mobile e tenta di apparire come un’equivalente versione per
Windows. Quando l’utente avvia manualmente il programma, quest’ultimo cambia le impostazioni DNS sul dispositivo in modo che tutti i domini vengano risolti attraverso i server degli attaccanti. Questi server, a loro volta, impediscono agli utenti di accedere a determinati siti antivirus, come Malwarebytes.com. Come payload finale, il pacchetto contiene
il famigerato miner open-source XMRig.
Al culmine della campagna,
sono stati attaccati più di 2.500 utenti al giorno, la maggior parte dei quali localizzati in Russia e nella Comunità degli Stati Indipendenti.
Le soluzioni di sicurezza di Kaspersky rilevano le minacce precedentemente descritte
con i seguenti nomi:
- Win64.Patched.netyyk
- Win32.DNSChanger.aaox
- Win64.Miner.gen
- HEUR:Trojan.Multi.Miner.gen
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.