|
|
10/10/2013 08:35:00 - Dopo ZeroAccess e il Bitcoin mining arriva il Trojan.Win32.Agent.EDM con Litecoin miningAllo SMAU 2013 di Padova tenutosi in Aprile, il C.R.A.M. (Centro Ricerca Anti-Malware) presentò un report dettagliato su due nuove infezioni che tennero in scacco gli utenti italiani – e non solo – identificate come FakeGDF e ZeroAccess.
Una nuova infezione che sfrutta tecniche simili di mining a quelle impiegate da ZeroAccess è ora comparsa sulla scena italiana. ZeroAccess oltre alle attività di pc click-fraud e download di nuovi malware quali: fraudtool, trojan clicker e ransomware (FakeGDF) presenta una peculiarità: sfruttando un esercito di computer compromessi, utilizza la loro potenza di calcolo per un'attività nota come: Bitcoin mining. Il Bitcoin è una moneta elettronica creata nel 2009 da un anonimo conosciuto solo con lo pseudonimo di Satoshi Nakamoto, questa valuta non è monopolizzata dalle banche ma è invece distribuita uniformemente attraverso la rete. ZeroAccess, sfruttando la potenza di calcolo di tutti i computer infetti, fa eseguire loro calcoli computazionali complessi, per ogni calcolo effettuato con successo si riceve una ricompensa in Bitcoin che può essere convertita, in un secondo momento, in valuta diversa (USD, Euro, etc.). Il Trojan.Win32.Agent.EDM condivide con ZeroAccess la struttura di sfruttamento dei computer compromessi, a differenza di Bitcon però, il Trojan.Win32.Agent.EDM si assicura un guadagno costante utilizzando il Litecoin mining. La valuta Litecoin dal punto di vista tecnico è identica al Bitcoin, la creazione e il trasferimento di questa moneta digitale si basa su un protocollo crittografico open source. Il Trojan.Win32.Agent.EDM sfrutta la valuta Litecoin in quanto il mining può essere eseguito con efficienza anche dai comuni computer in possesso del consumatore. L'algoritmo di mining utilizzato da Litecon è basto su scrypt, questo approccio favorisce l'utilizzo di un miner su normali computer e tra le più comuni GPU senza appesantire sensibilmente le risorse della macchina. L'attività condotta dal Trojan.Win32.Agent.EDM può essere divisa in diverse fasi:
Pastebin, nota applicazione web che permette agli utenti di condividere frammenti di testo in maniera pubblica, è sfruttato dal Trojan.Win32.Agent.EDM per leggere ed estrarre con appositi array le stringhe della pagina.
Se [nome file].exe / .dll non viene trovato nel PATH %SystemRoot%/system32/, il Trojan.Win32.Agent.EDM contatta l'URL associato e procede al download del file. Se tutti e tre i file cercati sono presenti, la variabile check_passed, utilizzata per gestire l'esito positivo o meno della ricerca, è rimasta uguale a True, permettendo al programma malevolo di avanzare con l'esecuzione dell'ultima porzione di codice.
Fase 2.2: initsrv.exe esegue controlli in sequenza per verificare la presenza del file e del processo winvnc86.exe
http://pastebin.com/raw.php?i=sw[XXXXXXXXXXXXXX](il link è diverso da quello contattato precedentemente), dalla web page richiesta estrae una stringa di istruzioni che viene memorizzata in una variabile sdata_.
Utilizzando la funzione FileCopy, initsrv.exe preleva il file minerd.exe da %SystemRoot%/system32/ e crea una copia in %SystemRoot%/system32/ rinominando il file originale in winvnc86.exe L'ultimo gruppo di istruzioni avvia winvnc86.exe passando come parametro la variabile sdata_ contenente le istruzioni con cui avviare il miner.
Quando Trojan.Win32.Agent.EDM (initsrv.exe) termina la sua esecuzione in maniera corretta, riesce ad eseguire il miner spacciando il programma come un software legittimo dal nome winvnc86.exe Nonostante il programma minerd.exe scaricato durante l'infezione risulti essere legittimo e il codice sorgente è disponibile liberamente su soruceforge.net, vien rilevato da Vir.IT eXplorer come Trojan.Win32.Agent2.BHTO , questo perché nei diversi casi analizzati nei laboratori della TG Soft si è notante che winvnc86.exe (alias minerd.exe) è sempre associato all'infezione Trojan.Win32.Agent.EDM. Ad ogni riavvio del PC infetto, il Trojan.Win32.Agent2.BHTO viene eseguito e il ciclo sopra descritto si ripete:
I server di pool mining sono accessibile da chiunque, è sufficiente creare un account, nella fase di registrazione il criminale dovrà creare due user name e due password.
La prima coppia di user name e password sono utilizzate dal criminale per accedere al server di Pool mining e visualizzare lo stato di guadagno, la seconda coppia invece viene data come parametro a tutti i miner distribuiti durante l'infezione. Il sistema delle doppie credenziali è stato introdotto per ovvie ragioni di sicurezza, in quanto ciascun miner in esecuzione trasmetterà il proprio user name e password in chiaro.  CRAM (Centro Ricerche Anti-Malware) di TG Soft Utilizzabilità delle informative e delle immagine in esse contenute
Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.
Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"
|
||||||||||||||
 |
| Legal & Eula | Privacy | Disinstallazione |
TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283 |
