I malware colpiscono il mining delle criptovalute

malware più diffusi dello scorso meseCheck Point Software Technologies. In particolare, i dati di marzo 2018 mostrano un’impennata nella diffusione di malware per il mining di criptovalute derivanti dal malware endpoint noto come la variante di XMRig. XMRig è in grado di estrarre la criptovaluta Monero senza nemmeno dover attivare una sessione del browser del computer colpito (qui uno speciale sulla sicurezza dei Bitcoin).

Più nel dettaglio, in Italia i tre malware più diffusi a marzo 2018 sono stati:

1. Coinhive, uno script di mining che utilizza la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero.
2. Rig EK, che diffonde exploit per Flash, Java, Silverlight e Internet Explorer.
3. Cryptoloot, malware che utilizza la potenza della CPU o GPU della vittima e le risorse esistenti per il mining di criptovalute aggiungendo transazioni alla blockchain e rilasciando nuova valuta.

Mentre, per i dispositivi mobili:

1. Lokibot, trojan bancario che colpisce i sistemi Android e che ruba informazioni.
2. Triada, malware modulare per Android che agisce tramite una backdoor che concede privilegi amministrativi a malware scaricati.
3. Hiddad, malware Android che riconfeziona app legali e poi le consegna a uno store di terze parti.

Per la prima volta, Check Point ha analizzato anche le vulnerabilità più diffuse nel marzo 2018, che sono state:

1. Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271), all’interno di Oracle WebLogic WLS esiste una vulnerabilità legata all’esecuzione di un codice in modalità remota. Ciò è dovuto al modo in cui Oracle WebLogic gestisce i decodificatori xml.
2. SQL Injection, consiste nell’inserimento di query SQL, in input, dal client all’applicazione, sfruttando al contempo una vulnerabilità di sicurezza nel software di un’applicazione.
3. Microsoft Windows HTTP.sys Remote Code Execution (MS15-034: CVE-2015-1635), legata all’esecuzione di codice in modalità remota in Windows. La vulnerabilità è dovuta a un errore nel modo in cui HTTP.sys gestisce un’intestazione HTTP malevola. Lo sfruttamento riuscito comporterebbe l’esecuzione di codice in modalità remota.

«I malware di cryptomining si sono rivelato un vero e proprio successo per i cyber criminali, e l’ascesa di XMRig indica che sono attivamente partecipi nel miglioramento dei loro metodi per essere sempre all’avanguardia – ha  commentato Maya Horowitz, Threat Intelligence Group Manager di Check Point -. Oltre a rallentare PC e server, il malware di cryptomining può diffondersi lateralmente, una volta all’interno della rete, minacciando la sicurezza degli utenti. È quindi fondamentale che le imprese adottino una strategia di cybersecurity multi-livello che protegga sia dalle famiglie di malware conosciute sia dalle nuove minacce».