Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il miner invisibile: Monero (XMR) Miner
- MARTEDÌ 4 SETTEMBRE 2018


Nell'ultimo anno, i Quick Heal Security Labs hanno osservato una crescita impressionante del numero di malware per il mining. Attualmente possiamo affermare con certezza che gli sviluppatori di malware hanno sostituito i ransomware con i miner di cripto valuta: molto più facili da gestire e capaci di produrre più guadagno. 

Qualche giorno fa i Quick Heal Security Labs sono incappati in un particolare malware per il mining di Monero (XMR), equipaggiato con differenti componenti. Il vettore di infezione usato per la diffusione di questo malware non è confermato, ma vi sono alcuni fondamenti per poter affermare che questo miner si diffonda sopratutto tramite attacchi di spear phishing e malvertising. 

Analisi tecnica
Abbiamo analizzato l'eseguibile auto estraente di questo miner (in formato .sfx). Da questo archivio le componenti vengono estratte e salvate su C:\Program Files\Windriverhost”. Queste componenti sono:
  1. vbs (VBScript)
  2. exe (utility di estrazione)
  3. rar (archivio protetto da password)
  4. bat (file batch)

Dopo l'estrazione delle componenti, viene avviato il VBScript (jsnel.vbs), come mostrato nella figura sotto:


Il file jsnel.vbs contiene un semplicissimo pezzo di codice per lanciare chax.bat.


rar.exe invece è il comando che serve per la decompressione degli archivi: qui viene usato per estrarre il file db.rar, protetto da password. Il file chax.bat contiene i comandi per cancellare le vecchie versioni dell'archivio protetto da password e del malware, come mostrato nell'immagine sotto. 


Lo scopo principale di chax.bat è di estrarre la componente, già menzionata,db.rar nella location corrente, quindi lanciare ouyk.vbs. 

A questo punto le componenti in gioco sono:
  1. vbs (VBScript)
  2. bat (batch file)
  3. json (file di configurazione)
  4. driverhost.exe (tool per il mining)

In maniera simile al precedente file VBScript (jsnel.vbs), questo nuovo script (ouyk.vbs) serve solo a lanciare il file batch xvvq.bat. Questo file .bat si pone due scopi:

1. mantenere sempre il sistema attivo usando il comando PowerCFG, così il processo di mining non viene mai interrotto.

   “powercfg -change -standby-timeout-ac 0” 

2. nascondere a qualsiasi tool di analisi il file driverhost.exe: enumera i processi utilizzando il comando tasklist per verificare se uno dei processi sotto elencati è attivo o meno. Se ne trova anche uno solo in esecuzione, termina immediatamente driverhost.exe:

“taskmgr.exe”
“perfmon.exe”
“ProcessHacker.exe”
“procexp.exe”
“procexp64.exe”
“dumpcap.exe”
“Wireshark.exe”
“anvir.exe”

config.json invece è, come detto, un file di configurazione che contiene dati quali username, password, massimo utilizzo della CPU ecc... come mostrato nella figura sotto



Una volta in esecuzione, driverhost.exe legge le configurazioni per il miner dal file config.json, quindi si connette al server “xmr[.]pool[.]minergate[.]com” e vi invia username e password dal file config.json e avvia il processo di mining con la porta 45560.




Per la persistenza sul sistema, il malware aggiunge un collegamento al file ouyk.vbs nella cartella di startup, rinominato drivehost.Ink. 


Flusso di esecuzione dl miner. 


Quick Heal e Seqrite individuano questo miner come “Trojan.Occamy”.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 9 DICEMBRE 2019
Instagram cambia: le nuove policy aumentano le tutele per i minori e la privacy
Ci sono diverse novità che riguardano il popolarissimo social Instagram: la prima e sicuramente più "impattante" è che ora, per iscriversi, occorrerà dichiarare l'età e l...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login