Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il cryptominer KingMiner utilizza il 100% della CPU su server Microsoft

cryptominer  KingMiner  monero   lunedì, 3 dicembre 2018

I cosidetti cryptominer (o cryptojacker) sono famiglie di malware specificamente progettate per effettuare il mining di criptovalute sfruttando le risorse computazionali delle macchine attaccate. Questo tipo di minaccia è andata crescendo ed evolvendosi nel corso del 2018, con nuove infezioni scoperte quasi ogni giorno.

I ricercatori di sicurezza di Check Point hanno individuato un nuovo esemplare di cryptominer, battezzato KingMiner, che prende di mira i server Microsoft Windows per estrarre la criptovaluta Monero (XMR).

Stando a quanto riportato da Check Point, KingMiner è stato scoperto per la prima volta a metà di giugno del 2018. Successivamente, sono state individuate in-the-wild numerose versioni sempre più avanzate di questo malware. KingMiner è caratterizzato dall’uso di svariate tecniche di evasione, che lo rendono difficile da individuare.

KingMiner è progettato per attaccare specificamente i server Microsoft, in particolare IIS e SQL Server, medianti attacchi a forza bruta alle credenziali di accesso. Una volta penetrato sul server bersaglio, il malware scarica ed esegue un file di tipo scriptlet (estensione “.sct”), un componente COM che include codice HTML e codice eseguibile scritto in vari linguaggi di scripting (VBScript, JavaScript, ecc.).

Questo componente esegue le seguenti funzionalità malevole:

  • individua la specifica architettura della CPU della macchina ospite (32 o 64 bit);
  • nel caso in cui una versione precedente della minaccia sia già in esecuzione sul server bersaglio, termina il processo corrispondente e cancella i file relativi;
  • scarica un payload specifico per l’architettura rilevata (“zip\64p.zip”).

Il file scaricato non è un vero archivio compresso ZIP, bensì un file XML pensato per aggirare i tentativi di emulazione. Il file XML contiene al suo interno un blocco di dati codificatoo base64 che, una volta decifrato, risulta nel file ZIP vero e proprio.

Una volta estratto l’eseguibile malevolo principale dal file ZIP (“powered.exe”), KingMiner crea una serie di nuove chiavi di Registro con valore “Test” ed esegue una versione di XMRig modificata per estrarre la valuta Monero.

L’analisi condotta dai ricercatori mostra che il cryptominer è configurato per utilizzare al massimo il 75% della capacità della CPU della macchina infetta, anche se, a causa di errori di programmazione, sfrutta in realtà il 100% della CPU.

Gli autori di KingMiner utilizzano un mining pool privato per evitare che la loro attività venga tracciata. Inoltre, le API del pool sono state disattivate e il portafoglio associato non è mai stato utilizzato in mining pool pubblici. Queste precauzioni rendono praticamente impossibile per i ricercatori individuare i domini usati dai cybercriminali o stabilire la quantità di Monero estratta mediante l’attività illecita.

Al momento, i paesi più colpiti da questa minaccia risultano Messico, Israele, Filippine, India e Norvegia. In considerazione delle tecniche di evasione utilizzate, che rendono KingMiner difficile da individuare, e dei futuri probabili aggiornamenti di questa minaccia, i ricercatori prevedono che il numero di infezioni continuerà ad aumentare anche durante il 2019.

Il post originale sul blog di Check Point contiene un’analisi più dettagliata di KingMiner, inclusi svariati indicatori di compromissione (IoC).

Notizie correlate

“DarthMiner”: malware per macOS con funzioni di backdoor e cryptominer

11 dicembre 2018

I ricercatori di sicurezza di Malwarebytes hanno individuato un nuovo malware per macOS, battezzato DarthMiner, che combina le funzionalità della backdoor EmPyre e del cryptominer XMRig.Leggi tutto

MassMiner: nuovo malware per il mining di criptovalute attacca server vulnerabili

4 maggio 2018

I ricercatori di Alien Vault hanno identificato una nuova famiglia di malware per il mining di criptovalute, battezzata MassMiner, che si diffonde come un worm sfruttando un gran numero di exploit per diversi sistemi e server.Leggi tutto

Vulnerabilità nota di Jenkins sfruttata attivamente per estrarre Monero

16 febbraio 2018

Il team di ricerca di Check Point ha recentemente scoperto una vasta campagna fraudolenta di estrazione della criptovaluta Monero ai danni dei gestori di server CI Jenkins.Leggi tutto