Microsoft: Sei Sicuro che la Tua GPU Non Stia Minando Criptovalute a tua insaputa?

Gli hacker hanno portato l'estrazione di criptovalute altrui su scala industriale, creando oltre 150 siti falsi e utilizzando risposte di chatbot IA per diffondere malware. Il cryptojacking industriale rappresenta una minaccia significativa, poiché consente agli aggressori di accedere costantemente ai sistemi infetti e potenzialmente rubare dati o distribuire ransomware.

Microsoft ha avvertito di una nuova campagna di cryptojacking che si maschera da popolare utility per il monitoraggio dell’hardware e l’overclocking dei PC.

Gli aggressori non scommettono su una infezione di massa, ma sui possessori di potenti schede video adatte al mining di criptovalute. Per diffondere malware, utilizzano non solo siti falsi nei risultati di ricerca, ma anche risposte di chatbot IA che possono consigliare collegamenti a risorse infette.

Gli specialisti di Microsoft Defender hanno scoperto che gli aggressori hanno creato siti Web falsi CrystalDiskInfo, HWMonitor, FurMark, Display Driver Uninstaller, K-Lite Codec Pack e PDFgear. L’utente ha scaricato un archivio ZIP contenente presumibilmente il programma desiderato, che conteneva un file legittimo e una libreria autorun.dll dannosa. Dopo il lancio, sono stati caricati nascosti componenti aggiuntivi.

La campagna include più di 150 domini. Parte dell’infrastruttura è stata ospitata tramite il servizio DNS dinamico Dynu. Gli analisti hanno anche notato tracce di transizioni verso siti dannosi da servizi di intelligenza artificiale. Secondo VirusTotal, alcuni collegamenti erano inclusi nelle risposte dei chatbot quando si chiedeva il download di programmi popolari.

Dopo l’infezione, il malware ha installato ScreenConnect, un noto strumento di amministrazione remota. Attraverso di esso, gli operatori hanno avuto accesso costante al sistema e hanno potuto scaricare nuovi moduli. Microsoft ritiene che tale accesso consenta potenzialmente non solo di lanciare miner, ma anche di rubare dati, navigare nella rete aziendale e distribuire ransomware.

La fase successiva è stata il lancio del componente SimpleRunPE.exe, che nascondeva il miner all’interno dei processi legittimi di Microsoft .NET. Per il mascheramento sono stati utilizzati InstallUtil.exe, MSBuild.exe, RegAsm.exe e altre utilità di sistema.

Il malware aggiungeva anche eccezioni a Microsoft Defender, verificava la presenza di macchine virtuali e strumenti di analisi come Wireshark, IDA e Ghidra e poi smetteva di funzionare se rilevava segni di analisi dell’ambiente.

Gli aggressori hanno utilizzato gminer, lolMiner e SRBMiner-MULTI per estrarre la criptovaluta. Il malware monitorava l’attività dell’utente e il carico della GPU. Se il proprietario del PC avviava un gioco o un’applicazione pesante, il minatore si fermava automaticamente per non destare sospetti.

Microsoft ha riferito che Defender sta bloccando l’attività correlata alla campagna. L’azienda consiglia di abilitare la sicurezza del cloud, il filtraggio della rete e le regole di riduzione della superficie di attacco per proteggersi da tali minacce.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance