Darktrace segnala una nuova campagna di cryptojacking in grado di bypassare Windows Defender Campagne di cryptojacking tramite ingegneria sociale

La società di cybersecurity Darktrace ha identificato una nuova campagna di cryptojacking progettata per eludere Windows Defender e installare un software di mining di criptovalute.

La campagna di cryptojacking, identificata per la prima volta a fine luglio, coinvolge una catena di infezione a più stadi che silenziosamente sfrutta la potenza di elaborazione di un computer per minare criptovalute, hanno spiegato i ricercatori di Darktrace Keanna Grelicha e Tara Gould in un rapporto condiviso con crypto.news.

Secondo i ricercatori, la campagna prende di mira specificamente i sistemi basati su Windows sfruttando PowerShell, la shell a riga di comando e linguaggio di scripting integrato di Microsoft, attraverso cui gli attori malevoli sono in grado di eseguire script dannosi e ottenere accesso privilegiato al sistema ospite.

Questi script dannosi sono progettati per essere eseguiti direttamente nella memoria di sistema (RAM) e, di conseguenza, gli strumenti antivirus tradizionali che solitamente si basano sulla scansione dei file presenti sui dischi rigidi del sistema non riescono a rilevare il processo malevolo.

Successivamente, gli attaccanti utilizzano il linguaggio di programmazione AutoIt, uno strumento Windows tipicamente usato dai professionisti IT per automatizzare compiti, per iniettare un loader malevolo in un processo Windows legittimo, che poi scarica ed esegue un programma di mining di criptovalute senza lasciare tracce evidenti sul sistema.

Come ulteriore linea di difesa, il loader è programmato per eseguire una serie di controlli ambientali, come la scansione di segnali di un ambiente sandbox e l’ispezione dell’host per prodotti antivirus installati.

L’esecuzione procede solo se Windows Defender è l’unica protezione attiva. Inoltre, se l’account utente infetto non dispone di privilegi amministrativi, il programma tenta di aggirare il controllo dell’account utente per ottenere accesso elevato.

Quando queste condizioni sono soddisfatte, il programma scarica ed esegue NBMiner, un noto strumento di mining di criptovalute che utilizza la GPU del computer per minare criptovalute come Ravencoin (RVN) e Monero (XMR).

In questo caso, Darktrace è riuscita a contenere l’attacco utilizzando il suo sistema di Autonomous Response “impedendo al dispositivo di effettuare connessioni in uscita e bloccando connessioni specifiche verso endpoint sospetti.”

“Poiché le criptovalute continuano a crescere in popolarità, come dimostrato dall’attuale alta valutazione della capitalizzazione di mercato globale delle criptovalute (quasi 4 trilioni di dollari al momento della scrittura), gli attori delle minacce continueranno a considerare il cryptomining come un’attività redditizia,” hanno scritto i ricercatori di Darktrace.

Campagne di cryptojacking tramite social engineering

Già a luglio, Darktrace aveva segnalato una campagna separata in cui attori malevoli utilizzavano complesse tattiche di social engineering, come l’impersonificazione di aziende reali, per indurre gli utenti a scaricare software alterati che installano malware per il furto di criptovalute.

A differenza dello schema di cryptojacking sopra menzionato, questo approccio prendeva di mira sia i sistemi Windows che macOS ed era eseguito direttamente dalle vittime inconsapevoli che credevano di interagire con dipendenti interni all’azienda.