• Home
  • Chi siamo
  • Il nostro sito web
  • Negozio online
ESET Italia security blog
  • Home
  • Chi siamo
  • Il nostro sito web
  • Negozio online
Home  /  Malware  /  Il malware che produce Monero sfrutta una vulnerabilità Microsoft

Il malware che produce Monero sfrutta una vulnerabilità Microsoft

La cripto-valuta Monero sotto attacco: i cyber criminali incassano 63.000 $ sfruttando una vulnerabilità dei server Windows 2003.

I ricercatori di ESET hanno individuato un malware progettato per il mining di Monero, la moneta virtuale alternativa a Bitcoin diventata negli ultimi tempi molto popolare. Secondo i ricercatori di ESET l’attività fraudolenta va avanti dallo scorso maggio 2017 ed ha fruttato ai cyber criminali un incasso di più di 63.000$ in Monero.
L’attacco è stato sferrato attraverso una botnet di centinaia di PC ed è stato progettato per sfruttare la vulnerabilità CVE-2017-7269 in IIS 6.0, piattaforma per server Web basata su Windows Server 2003; questa vulnerabilità ha permesso ai cyber criminali di installare un miner di Monero grazie ad un codice di exploit liberamente disponibile in rete. Microsoft ha rilasciato un aggiornamento, ma molti computer rimangono tuttora vulnerabili.

Secondo i ricercatori di ESET, Monero è stata preferita alla più conosciuta Bitcoin per le sue funzionalità peculiari come il supporto per il mining su CPU e GPU standard e per l’irrintracciabilità delle transazioni; lo stesso software di mining installato risulta essere una versione modificata di xmrig, un tool open source più che legittimo.

Per generare valuta i criminali hanno modificato la versione 0.8.2 di xmrig, un miner legittimo per Monero, rilasciata il 26 Maggio del 2017. I criminali non hanno alterato il codice di base open source originale, a parte aggiungere degli argomenti alla sua linea di commando codificata indicanti il portafoglio dei criminali stessi e l’indirizzo URL della mining pool. Per far ciò ai criminali, secondo ESET, sarebbero bastati solo pochi minuti.

In queste immagini (figua 1 e 2) è possibile notare le modifiche apportate alle stringhe del codice:

Figura 1

Figura 2

Mentre per diffondere il malware e infettare i sistemi, come precedentemente indicato, i creatori di questa minaccia hanno sfruttato una vulnerabilità del sistema Windows 2003 server, la CVE-2017-7269 in IIS 6.0. Gli attaccanti hanno sostituito la stringa che consente l’esecuzione della calcolatrice di Windows con una che si occupa di scaricare ed eseguire la payload del codice dannoso. Tuttavia, questo non richiede molta sofisticazione, poiché ci sono strumenti online come alpha3 che aiutano a convertire qualsiasi codice di shell nella stringa desiderata.

Di seguito il codice che consente il download e l’esecuzione del malware (scaricando dasHost.exe da hxxt: // postgre [.] Tk / nella cartella% TEMP%):

Figura 3

ESET naturalmente inviata tutti gli amministratori IT a verificare la presenza dell’aggiornamento specifico nei sistemi Windows 2003 server e in caso non fosse presente di installarlo immediatamente.

Un controllo completo della memoria operativa e dei dischi fissi con una soluzione antimalware efficace assicurerà la salvaguardia dei server e bloccherà la diffusione di questa minaccia.

Condividi su
Condividi su Facebook
Condividi su Twitter
Condividi su Google+
 Articolo precedente Cyber attacchi: rubati 2 miliardi di dati nell’Unione Europea secondo Europol
Articolo successivo   Netzwerkdurchsetzungsgesetz: La “legge Facebook” della Germania contro l’hate speech

Articoli Simili

  • UE sempre più attenta alla sicurezza informatica – presentato il nuovo Cert-Eu

    aprile 19, 2018
  • Attenzione ai contenuti pubblicitari mascherati come app di sicurezza

    aprile 17, 2018
  • 2017 ransomware e ancora ransomware

    aprile 11, 2018

Rispondi

Annulla risposta

Cerca

Social Media

  • Connect on Facebook
  • Connect on Twitter
  • Connect on LinkedIn
  • Connect on RSS

Articoli Recenti

  • UE sempre più attenta alla sicurezza informatica – presentato il nuovo Cert-Eu aprile 19, 2018
  • Attenzione ai contenuti pubblicitari mascherati come app di sicurezza aprile 17, 2018
  • Grindr nell’occhio del ciclone! A rischio i dati sui test HIV degli utenti aprile 13, 2018
  • 2017 ransomware e ancora ransomware aprile 11, 2018

Commenti recenti

  • Truffa su Google Play: individuate 35 app di pseudo-sicurezza che mascherano contenuti pubblicitari su Attenzione ai contenuti pubblicitari mascherati come app di sicurezza
  • ESET scopre 35 app truffaldine su Google Play - TechDifferent su Attenzione ai contenuti pubblicitari mascherati come app di sicurezza
  • Download.com nasconde da anni un malware che sottrae Bitcoin alle vittime - ComunicatoStampa.org su Su Download.com da anni è presente un malware che sottrae Bitcoin alle vittime
  • Su Download.com da anni è presente un malware che sottrae Bitcoin alle vittime | Rassegna stampa di diritto, fisco e economia su Su Download.com da anni è presente un malware che sottrae Bitcoin alle vittime
  • OceanLotus continua a colpire - CyberDifesa.it su OceanLotus diffonde una nuova backdoor usando vecchie strategie

Archivi

Categorie

  • Comunicazioni
  • Malware
  • Senza categoria
  • Sicurezza
  • Suggerimenti tecnici
  • UE sempre più attenta alla sicurezza informatica – presentato il nuovo Cert-Eu

  • Attenzione ai contenuti pubblicitari mascherati come app di sicurezza

  • Grindr nell’occhio del ciclone! A rischio i dati sui test HIV degli utenti

  • 2017 ransomware e ancora ransomware

  • Backup: una persona su tre non lo ha mai fatto

© 1992 - 2018 ESET, spol. s r.o. - Tutti i diritti riservati. I marchi usati nel sito sono registrati da ESET, spol. s r.o. ESET Nord America o Future Time S.r.l. Tutti gli altri nomi e marchi sono registrati dalle rispettive aziende. Future Time S.r.l. © 2001-2017. P.IVA 06677001007
Questo sito usa i cookie, anche di terze parti, per offrirti una navigazione in linea con le tue preferenze. Per maggiori informazioni puoi accedere alla nostra cookie policy, dove potrai negare il consenso ai cookie, seguendo l'apposito link. Se continui la navigazione sul sito acconsenti all'uso dei cookie. Ok, accetto Cookie policy