Ultime Notizie

Microsoft: Impedito mining per mezzo di virus su larga scala

0 Commenti

L’anno scorso, il mondo della sicurezza informatica è stato scosso dagli attacchi dei Ransomware Petya e WannaCry. La Microsoft ha ovviamente approfittato per spiegare in dettaglio come l’aggiornamento alle ultime versioni di Windows ha protetto gli utenti dagli exploit e ha contribuito a mitigarne la diffusione. Ma in questo momento, i virus che sfruttano il computer affetto a scopo di mining sembrano essere il genere di malware preferito dai blackhat hacker. Infatti, il 7 marzo invece la Microsoft ha pubblicato un blog post che spiega in dettaglio come il suo Windows Defender, disponibile in Windows 7,8.1 e 10, ha impedito mining su larga scala per mezzo di virus un paio di giorni fa.

microsoft

Un attacco di vasta portata

Secondo il rapporto, Windows Defender ha utilizzato segnali basati sul comportamento e modelli machine learning per rilevare e bloccare quasi 80.000 istanze di molti trojan avanzati. L’azienda afferma che i trojan in questione erano una variante di Dofoil, e sono accompagnati da software per mining. Dopo la prima rilevazione, 400.000 casi dell’attacco sono stati identificati nelle 12 ore successive. Il 73% di questi in Russia, il 18% in Turchia e il 4% in Ucraina.

La famiglia di malware Dofoil è considerata conseguenza indiretta dell’attuale richiesta di criptovalute. I prezzi alti delle criptovalute creano opportunità nuove e più profique per guadagnare per mezzo di malware. Il malware che Windows Defender ha rilevato utilizza una tecnica di iniezione del codice nel processo di explorer, creando una nuova istanza del processo legittimo e sostituendo il suo codice con malware.

Un virus avanzato

Questo processo infetto genera quindi un’altra istanza. Questa è quella che si occupa del mining. In circostanze normali, questo sarebbe stato molto difficile da rilevare da parte di un utente. Questo perché il processo in questione è un processo dannoso che agisce apparendo come un binario legittimo di Windows, ma viene eseguito da una posizione errata.

La Microsoft spiega:

“Per rimanere nascosto, Dofoil modifica il registro di sistema. Il processo explorer.exe vuoto crea una copia del malware originale nella cartella Roaming AppData. Dopo lo rinomina in ditereah.exe. Crea quindi una chiave di registro o ne modifica una esistente per puntare alla copia malware appena creata. Nel campione analizzato, il malware ha modificato il tasto OneDrive Run.

Il processo explorer.exe vuoto scrive ed esegue un altro binario, D1C6.tmp.exe (SHA256:5f3efdc65551edb0122ab2c40738c48b677b677b1058f7dfcdb86b86b05af42a2d8299c) nella cartella Temp. La D1C6.tmp.exe poi crea ed esegue una copia di se stessa chiamata lyk.exe. Una volta avviato, lyk.exe si connette ad indirizzi IP che fungono da server proxy DNS per la rete Namecoin. Si tenta quindi di connettersi al server C&C vinik.bit all’interno dell’infrastruttura NameCoin. Il server C&C comanda al malware di connettersi o disconnettersi a un indirizzo IP, scaricare un file da un determinato URL ed eseguire o terminare il file specifico, oppure sospenderlo per un certo periodo di tempo.”

Conclusione

Anche se Microsoft ha dichiarato che i clienti che eseguono Windows 7, 8.1 e 10 con Windows Defender AV o Microsoft Security Essentials sono protetti, si raccomanda agli utenti di aggiornare al suo ultimo sistema operativo, che è Windows 10. In realtà, l’azienda ha anche incoraggiato i clienti a utilizzare Windows 10 S per proteggersi da tali minacce.

Gli hacker, come già detto in abbondanza, trovano terreno fertile nel far west quali sono in questo momento le criptovalute. Ma la situazione sta finalmente cambiando e le giuste contromisure stanno nascendo. È importante però anche non incolpare lo strumento dell’utilizzo che ne viene fatto come alcuni continuano a fare.

Microsoft: Impedito mining per mezzo di virus su larga scala
Rate this post

Lascia una recensione

avatar
  Subscribe  
Notificami

Informativa sul rischio: investire in valute digitali, azioni e altri valori mobiliari, materie prime, valute e altri prodotti di investimento derivati (ad es. contratti per differenza, “CFD”) è speculativo e comporta un elevato livello di rischio. Ogni investimento è unico e comporta rischi unici.

I CFD e altri derivati sono strumenti complessi e comportano un elevato rischio di perdita del denaro in tempi brevi a causa della leva. Valuta se comprendi come funzionano gli investimenti e se puoi sostenere l’elevato rischio di perdere denaro.

I prezzi delle criptovalute possono oscillare ampiamente e, pertanto, tali strumenti non sono adatti a tutti gli investitori. Il trading di criptovalute non è supervisionato da alcun quadro legislativo UE. La performance passata non garantisce risultati futuri. Qualunque storico di trading presentato interessa un periodo inferiore a 5 anni, salvo ove diversamente indicato, e potrebbe non essere sufficiente per prendere decisioni di investimento. Il tuo capitale è a rischio.

Facendo trading su azioni, il capitale è a rischio.

La performance passata non è indicativa di risultati futuri. Lo storico di trading presentato interessa un periodo inferiore a 5 anni, salvo ove diversamente indicato, e potrebbe non essere sufficiente per prendere decisioni di investimento. I prezzi possono oscillare al ribasso, così come al rialzo, anche notevolmente e si potrebbe essere esposti a variazioni dei tassi di cambio. È possibile perdere tutto o parte dell’importo investito. Gli investimenti non sono adatti a chiunque; assicurati di aver compreso appieno i rischi e gli aspetti legali che tale attività comporta. In caso di incertezza, richiedi una consulenza legale, fiscale e/o contabile indipendente. Questo sito non fornisce consulenza finanziaria, legale, fiscale o contabile. Alcuni link sono affiliati. Per maggiori informazioni, leggi l’Informativa integrale sul rischio e il disclaimer.