Giochi pirata che diffondono malware di criptojacking

··1 min lettura
Dario Fadda

È stato scoperto un nuovo malware di cryptojacking Monero che si diffonde tramite versioni crackate di noti giochi online. Secondo i ricercatori, la minaccia è identificata come Crackonosh. Elimina i programmi antivirus e il mining di criptovalute in più di una dozzina di paesi.

La scoperta

Secondo un recente rapporto, il malware è attivo da giugno 2018 e si diffonde tramite versioni piratate di NBA 2K19, Pro Evolution Soccer 2018, Grand Theft Auto V e i giocatori possono scaricarli gratuitamente.

  • Nel caso di Crackonosh, l’obiettivo finale è installare il coin miner XMRig per estrarre la criptovaluta Monero dall’interno del software crackato scaricato sul dispositivo infetto.
  • Finora, gli aggressori dietro questa recente campagna hanno estratto 9000 XMR (più di $ 2 milioni) in totale.
  • Inoltre, il malware si sta diffondendo rapidamente, infettando 222.000 dispositivi unici in più di una dozzina di paesi dallo scorso dicembre. A maggio, riceve ancora circa 1.000 visite in un solo giorno.
  • Inoltre, i Paesi più presi di mira sono le Filippine con 18.448 vittime, seguite da Brasile (16.584), India (13.779), Polonia (12.727), Stati Uniti (11.856); e il Regno Unito (8.946).

Il malware disabilita Windows Update/Defender eliminando un elenco di voci di registro e disattivando gli aggiornamenti automatici. Inoltre, installa il file MSASCuiL[.]exe che mette l’icona di Windows Security nella barra delle applicazioni.

La diffusione a catena

La catena di infezione inizia non appena qualcuno scarica e installa il software crackato. Il programma di installazione esegue la manutenzione[.]vbs. Questo avvia il processo di installazione utilizzando serviceinstaller[.]msi.

Vedi anche
  • Ora, il processo serviceinstaller[.]msi registra ed esegue il file malware principale .exe identificato come serviceinstaller[.]exe. Rilascia un altro file, StartupCheckLibrary[.]DLL, che scarica ed esegue wksprtcli[.]dll. 
  • Questo file (wksprtcli[.]dll) estrae il file winlogui[.]exe più recente e quindi rilascia winscomrssrv[.]dll e winrmsrv[.]exe che memorizza decrittografa e quindi inserisce nella cartella.

Conclusioni

Il software crackato è una delle principali fonti utilizzate dagli aggressori per diffondere malware e minacce come Crackonosh continuano a sfruttare l’interesse degli utenti per tali fonti inaffidabili. Pertanto, si consiglia agli utenti di utilizzare software originale per prevenire eventuali incidenti informatici.

Dario Fadda
IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.
Correlati
Precedente
PrintNightmare: Windows Zero-Day scoperto accidentalmente da ricercatori cinesi
Successivo
Il gruppo Ursnif sfrutta Cerberus per automatizzare i bonifici bancari fraudolenti in Italia

Notizie cybersecurity, malware, ransomware e sicurezza dei dati

Contatti

Per qualsiasi informazione/segnalazione editoriale ci potete contattare da tutti i canali social indicati e via mail a: info@spcnet.it

Canale sicuro per Whistlerblowers