La pratica nota come cryptojacking, ovvero lo sfruttare un computer per estrarre criptovalute all’insaputa dell’utente, è ormai diffusa a qualunque latitudine.
In questo contesto, i cybercriminali sfruttano di frequente Windows Advanced Installer per infettare computer di professionisti, come grafici, ingegneri e architetti. Il motivo della scelta di obiettivi di questo tipo è chiara: per questioni lavorative, infatti, i PC di tali figure professionali sono dotate di GPU particolarmente potenti.
Software impiegati in tali settori, infatti, tendono a sfruttare in modo intenso tale hardware rendendolo molto appetibile per i cybercriminali. A confermare questa tendenza, sono anche gli esperti di Cisco Talos che hanno analizzato a fondo il fenomeno cryptojacking.
L’utilizzo di Advanced Installer per installare malware nel contesto del mining di criptovalute, secondo gli esperti, è cominciato almeno dall’ottobre 2021. Per avviare le infezioni, vengono spesso sfruttati software legittimi come Adobe Illustrator, Autodesk 3ds Max e SketchUp Pro a cui vengono abbinati script dannosi.
Allarme M3_Mini_Rat: il malware che sfrutta tecniche avanzate di criptojacking
I casi finora registrati che abbinano casi di criptojacking ad Advanced Installer sembrano focalizzarsi su paesi francofoni, con i computer che vengono infettati attraverso il trojan di accesso remoto M3_Mini_Rat, che permette agli hacker di mettere le mani sul sistema della vittima, andando poi ad installare ulteriori payload.
Riguardo i vettori utilizzati per la diffusione, Cisco Talos non ha ancora scoperto come avvenga la diffusione. Nonostante ciò, visto alcune campagne simili in passato, è presumibile che buona parte dei trojan diffusi online sia riconducibile ad attività di SEO Poisoning.
Nella campagna vengono poi anche adoperati altri payload come PhoenixMiner e lolMiner, capaci di minare criptovaluta sfruttando la potenza di calcolo delle schede video AMD, Nvidia e Intel.
Andando più bello specifico, PhoenixMiner è progettato per il mining di valute come ETH, ETC, Musicoin, EXP e UBQ. lolMiner, invece, supporta diversi protocolli tra cui Etchash, Autolykos2, Beam, Grin e tanti altri.
A rendere ancora più temibile quest’ultimo loader vi è la capacità, nelle sue ultime versione, di supportare il mining simultaneo di due diverse criptovalute.