News 2

Satori, il malware che infetta i PC dedicati al mining di criptovalute

Compromette il software Claymore Mining e cambia l'indirizzo del wallet di destinazione con uno controllato dall'attaccante. Non chiara la diffusione, ma potrebbe essere l'inizio di una nuova moda nel mondo delle minacce informatiche

Satori, il malware che infetta i PC dedicati al mining di criptovalute

Satori è una famiglia di malware, variante della più nota Mirai, che prende di mira router, ip-cam, dispositivi smart-tv e in generale qualsiasi dispositivo connesso alla rete allo scopo di trasformarli in soldatini di potenti botnet. Nella scorsa settimana i ricercatori di sicurezza della società cinese Netlab 360 hanno individuato una versione modificata di Satori che infetta i computer dedicati al mining di criptovalute.

Il malware prende il controllo del software di mining Claymore Mining (per il mining di Ethereum), con modalità non dettagliate nello specifico: tutto quello che si conosce è la capacità di compiere azioni di configurazione tramite la porta 3333, che non richiede autenticazione se il software viene lasciato con le impostazioni di default. Una volta preso il controllo del software, il malware va a sostituire l'indirizzo del wallet del proprietario del pc cui vengono raccolti i frutti del mining con un indirizzo controllato dall'attaccante (sia personale, sia di un eventuale mining pool). In questo modo l'attaccante può recuperare tutte le monetine digitali generati dal mining senza che il proprietario se ne possa accorgere se non controllando manualmente la configurazione del proprio software.

Un controllo dell'indirizzo del wallet dell'attaccante, recuperato da Netlab 360, mostra le ultime 10 transazioni relative all'indirizzo, nelle quali si scorgono vari spostamenti in ingresso e in uscita con movimentazioni nell'ordine di grandezza di pochi Ether, il cui valore nei giorni scorsi è arrivato a superare i 1400 dollari prima di subire gli effetti dei un grosso storno che ha interessato tutto il mercato delle criptovalute.

Non è chiaro, al momento, quale possa essere la diffusione di questa infezione, in quanto le uniche informazioni di contesto che posssono essere recuperabili sono i dati di capacità di calcolo indicati sull'indirizzo del mining pool, che comunque variano costantemente. Si può ipotizzare una diffusione da qualche decina a parecchie centinaia di sistemi (a seconda ovviamente delle GPU usate dai sistemi infetti), ma al di là di ciò è comunque opportuno considerare che questo nuovo malware può rappresentare l'inizio di una nuova "moda" nel campo delle minacce informatiche a cui potrebbero ispirarsi campagne anche più massicce.

 

Estratto dall'articolo originale: Art of Steal: Satori Variant is Robbing ETH BitCoin by Replacing Wallet Address on Botnet, BitCoin, ETH BitCoin, Satori

Fonte notizia: Hwupgrade.it

Questo sito utilizza Cookies per migliorare l'esperienza di navigazione e mostrarti servizi in linea con le tue preferenze. Disabilitando i cookie alcuni dei nostri servizi potrebbero non funzionare e alcune pagine non essere visualizzate correttamente. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento, acconsenti all'uso dei Cookies. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni Cookies visualizza l'informativa completa. Cookies Policy.

Accetto i Cookies