Strumento di Windows usato dagli hacker per il mining di criptovalute

Secondo un’analisi di Talos Intelligence, alcuni hacker stanno utilizzando uno strumento Windows per infettare con un malware i sistemi operativi delle vittime. Stando alle informazioni fornite dai ricercatori, il fine di tali agenti malevoli sarebbe il mining di criptovalute.

Il tool in questione è Windows Advanced Installer, un’applicazione che aiuta gli sviluppatori a creare pacchetti di altri programmi di installazione software, in questo caso sfruttato per eseguire script dannosi su macchine infette.

Stando a quanto riportato da Talos Intelligence il 7 settembre, i programmi di installazione dei software interessati dall’attacco vengono utilizzati principalmente per la modellazione 3D e la progettazione grafica. Tra questi, a quanto pare, figura anche Adobe Illustrator.

Riguardo la possibile provenienza dell’attacco, per gli esperti vi sono pochi dubbi “Le vittime appartengono probabilmente a settori aziendali verticali, tra cui architettura, ingegneria, edilizia, produzione e intrattenimento nei paesi a predominanza di lingua francese“, spiegano i ricercatori.

Mining di criptovalute: gli hacker sfruttano una vulnerabilità di Windows Advanced Installer

Tra i paesi finora presi maggiormente di mira, infatti, figurano in prevalenza Francia e Svizzera. Alcuni casi sono stati individuati in altre nazioni francofone, come Canada e Algeria. Non mancano, per ora occasionali, le infezioni in altri paesi come Stati Uniti, Germania, Singapore e Vietnam.

La campagna illecita di mining di criptovalute identificata da Talos prevede l’implementazione di script batch dannosi di PowerShell e Windows per eseguire comandi e creare una backdoor nel computer della vittima. PowerShell, in particolare, è noto per essere eseguito nella memoria del sistema anziché nel disco rigido, rendendo più difficile l’identificazione di un attacco.

L’uso di malware per il mining di criptovalute, noto come cryptojacking, comporta l’installazione di codice di mining su un dispositivo all’insaputa o senza il permesso dell’utente al fine di estrarre illegalmente criptovalute.

I sintomi che potrebbero essere in esecuzione malware di mining su una macchina includono una serie di indicatori legati al sovraccarico dell’hardware, come surriscaldamenti o prestazioni scadenti rispetto agli standard abituali.