Falso portale MSI Afterburner prende di mira i giocatori Windows per il mining di criptovalute

Un falso portale di download di MSI Afterburner che prende di mira gli utenti esperti di Windows e i giocatori Windows infettandoli con miner di criptovalute e il malware RedLine che ruba informazioni, secondo un nuovo rapporto dei ricercatori di Cyble.

Per cominciare, MSI Afterburner è una funzione GPU che consente agli utenti di configurare l’overclocking, registrare video, creare profili di ventole e monitorare l’utilizzo della scheda grafica e della CPU installate.

Bene, questa funzione può essere utilizzata da utenti con quasi ogni grafica, il che la rende utilizzabile per milioni di utenti in tutto il mondo che poi modificano le sue impostazioni in base alle loro esigenze, ad esempio, per ottenere temperature più basse, migliorare le prestazioni di gioco e altro.

Bene, tutte queste cose rendono questo strumento un buon obiettivo per gli attaccanti che cercano di colpire gli utenti esperti di Windows o i giocatori che utilizzano GPU potenti, che possono prendere il controllo per utilizzarle per il mining di criptovalute.

Secondo Cyble, negli ultimi tre mesi, sono apparsi su Internet più di 50 siti web che imitano il sito ufficiale di MSI Afterburn e spingono miner XMR insieme al malware che ruba informazioni.

Leggi: Il gruppo AXLocker di ransomware ruba gli account Discord degli utenti infetti

Per aggiungere a questo, la campagna ha utilizzato nomi di dominio identici per ingannare gli utenti facendogli credere di essere il legittimo sito di MSI Afterburn, il che è più facile da promuovere utilizzando SEO nera. Questi sono alcuni dei domini identificati da Cyble.

• msi-afterburner–download.site
• msi-afterburner-download.site
• msi-afterburner-download.tech.
• msi-afterburner-download.online
• msi-afterburner-download.store
• msi-afterburner-download.ru
• msi-afterburner.download
• mslafterburners.com
• msi-afterburnerr.com

Inoltre, in altri casi, i domini non utilizzavano il marchio MSI e venivano probabilmente promossi tramite messaggi, post sui social media e forum.

• git.git.skblxin.matrizauto.net
• git.git.git.skblxin.matrizauto.net
• git.git.git.git.skblxin.matrizauto.net
• git.git.git.git.git.skblxin.matrizauto.net

Quando il file di installazione falso di MSI Afterburner viene eseguito (MSIAfterburnerSetup.msi), il file valido verrà installato. Tuttavia, l’installer installerà silenziosamente e eseguirà il malware RedLine che ruba informazioni e anche il miner XMR nel dispositivo infetto.

Il miner XMR viene quindi installato tramite un eseguibile Python a 64 bit chiamato “browser_assistant.exe” nella directory dei file di programma locali, che inserisce una shell nel processo creato dall’installer.

Il codice della shell recupera il miner XMR dall’archivio di GitHub e poi lo inietta direttamente nella memoria del processo explorer.exe, e poiché i miner XMR non interagiscono mai con il disco, le possibilità che venga rilevato dai prodotti di sicurezza sono piuttosto scarse. Dopo di che, il miner XMR si collega al pool miner utilizzando un nome utente e una password hardcoded e poi fornisce le informazioni di base sul sistema all’attaccante minaccioso.

Leggi: Kit di email di phishing che prende di mira i nordamericani durante la stagione delle vacanze!

Bene, una delle funzioni che il miner utilizza è il “thread CPU maxed” impostato su 20, che supera la maggior parte dei thread CPU, quindi è impostato per consumare tutta la potenza disponibile. Il miner XMR inizia a minare solo dopo un’ora, e poiché la CPU va in idle, questo indica che il PC compromesso non viene utilizzato per alcun compito che richiede risorse e probabilmente è lasciato incustodito.

Inoltre, utilizza la funzione cinit-stealth-targets, che è essenzialmente un’opzione per mettere in pausa il mining e liberare la memoria GPU quando viene avviato un particolare programma elencato sotto i “target stealth”. Questi potrebbero essere proprio i programmi che aiutano la vittima a identificare processi dannosi, ad esempio, antivirus, visualizzatori di risorse hardware e altro.

In questo scenario, il miner che cerca di nascondersi dalle applicazioni Windows è taskmanager.exe, procexp.exe, Processhacker.exe, perforn.exe, e procexp64.exe. Allo stesso tempo, il miner XMR sta silenziosamente prendendo il controllo delle tue risorse (Monero); il RedLine aveva già funzionato in background rubando dati del browser, cookie, password e qualsiasi possibile wallet di criptovalute che ci sia.

Purtroppo, quasi tutti i componenti della campagna Fake MSI Afterburn hanno una scarsa rilevazione da parte dei software antivirus, tanto che un rapporto di VirusTotal menziona che il file di installazione MSIAfterburnerSetup.msi viene rilevato solo da 3 software di sicurezza su 56 e mentre il browser_assistant.exe viene rilevato solo da 2 su 67.

Leggi: Malware Mirai RapperBot che attacca i server di giochi online con DDoS