Campagna massiva Trojan / Bitcoinminer

malware

Nelle giornate di ieri e di oggi, grazie ai nostri sistemi, siamo stati in grado di rilevare diverse campagne massive di allegati .zip contenenti al loro interno file eseguibili (.exe) appartenenti alla famiglia di malware Trojan/Bitcoinminer.

Le e-mail hanno come oggetto “Fattura TIM linea Fissa – Maggio 2017 – scadenza 06/05/2017” e presentano un file .zip con il seguente hash MD5: 9eb45190079e29de371b4993f76920f1

 

Il file eseguibile una volta avviato crea i seguenti file nella cartella temporanea dell’utente:

 

C:\Users\[username]\AppData\Local\Temp\x86\cpuminer-x86.exe

C:\Users\[username]\AppData\Local\Temp\cpuminer-gw64.exe

C:\Users\[username]\AppData\Local\Temp\x86\msvcr120.dll

C:\Users\[username]\AppData\Local\Temp\x86\cpuminer-conf.json

C:\Users\[username]\AppData\Local\Temp\explorer.exe

C:\Users\[username]\AppData\Local\Temp\cpuminer-conf.json

C:\Users\[username]\AppData\Local\Temp\winlogon.exe

C:\Users\[username]\AppData\Local\Temp\api\websocket.htm

C:\Users\[username]\AppData\Local\Temp\msvcr120.dll

C:\Users\[username]\AppData\Local\Temp\run.vbs

C:\Users\[username]\AppData\Local\Temp\api\index.php

C:\Users\[username]\AppData\Local\Temp\LICENSE.txt

C:\Users\[username]\AppData\Local\Temp\api\local-sample.php

C:\Users\[username]\AppData\Local\Temp\cpuminer-x64.exe

 

Il Trojan esegue i file legittimi cpuminer-x86.exe o cpuminer-x64.exe in base all’architettura del PC infetto (32/64 bit) e lo scopo principale del malware è quello di utilizzare la CPU dell’utente vittima per “minare” bitcoin utilizzando il servizio web https://monero.crypto-pool.fr.

 

Di seguito un estratto del file di configurazione cpuminer-conf.json

 “url” : “stratum+tcp://xmr.crypto-pool.fr:80”

“user”:  “4ABmhw9KMKQFjKNMCis9Y1aqHVFo9spTUHdCwX7RQccdadn37d1hsid2mQqKVVod1EZLyyQipT7FPb6EXhHAhUxSAdYLDvW”,

“pass” : “x”,

 

La campagna risulta al momento attiva e consigliamo di bloccare sulle soluzioni di sicurezza file con il seguente MD5: 9eb45190079e29de371b4993f76920f1

Condividi su facebook
Condividi su twitter
Condividi su linkedin