GPU e criptojacking: grafici e architetti nel mirino degli hacker

La pratica nota come cryptojacking, ovvero lo sfruttare un computer per estrarre criptovalute all’insaputa dell’utente, è ormai diffusa a qualunque latitudine.

In questo contesto, i cybercriminali sfruttano di frequente Windows Advanced Installer per infettare computer di professionisti, come grafici, ingegneri e architetti. Il motivo della scelta di obiettivi di questo tipo è chiara: per questioni lavorative, infatti, i PC di tali figure professionali sono dotate di GPU particolarmente potenti.

Software impiegati in tali settori, infatti, tendono a sfruttare in modo intenso tale hardware rendendolo molto appetibile per i cybercriminali. A confermare questa tendenza, sono anche gli esperti di Cisco Talos che hanno analizzato a fondo il fenomeno cryptojacking.

L’utilizzo di Advanced Installer per installare malware nel contesto del mining di criptovalute, secondo gli esperti, è cominciato almeno dall’ottobre 2021. Per avviare le infezioni, vengono spesso sfruttati software legittimi come Adobe Illustrator, Autodesk 3ds Max e SketchUp Pro a cui vengono abbinati script dannosi.

Allarme M3_Mini_Rat: il malware che sfrutta tecniche avanzate di criptojacking

I casi finora registrati che abbinano casi di criptojacking ad Advanced Installer sembrano focalizzarsi su paesi francofoni, con i computer che vengono infettati attraverso il trojan di accesso remoto M3_Mini_Rat, che permette agli hacker di mettere le mani sul sistema della vittima,  andando poi ad installare ulteriori payload.

Riguardo i vettori utilizzati per la diffusione, Cisco Talos non ha ancora scoperto come avvenga la diffusione. Nonostante ciò, visto alcune campagne simili in passato, è presumibile che buona parte dei trojan diffusi online sia riconducibile ad attività di SEO Poisoning.

Nella campagna vengono poi anche adoperati altri payload come PhoenixMiner e lolMiner, capaci di minare criptovaluta sfruttando la potenza di calcolo delle schede video AMD, Nvidia e Intel.

Andando più bello specifico,  PhoenixMiner è progettato per il mining di  valute come ETH, ETC, Musicoin, EXP e UBQ. lolMiner, invece, supporta diversi protocolli tra cui Etchash, Autolykos2, Beam, Grin e tanti altri.

A rendere ancora più temibile quest’ultimo loader vi è la capacità, nelle sue ultime versione, di supportare il mining simultaneo di due diverse criptovalute.