Nelle giornate di ieri e di oggi, grazie ai nostri sistemi, siamo stati in grado di rilevare diverse campagne massive di allegati .zip contenenti al loro interno file eseguibili (.exe) appartenenti alla famiglia di malware Trojan/Bitcoinminer.
Le e-mail hanno come oggetto “Fattura TIM linea Fissa – Maggio 2017 – scadenza 06/05/2017” e presentano un file .zip con il seguente hash MD5: 9eb45190079e29de371b4993f76920f1
Il file eseguibile una volta avviato crea i seguenti file nella cartella temporanea dell’utente:
C:\Users\[username]\AppData\Local\Temp\x86\cpuminer-x86.exe
C:\Users\[username]\AppData\Local\Temp\cpuminer-gw64.exe
C:\Users\[username]\AppData\Local\Temp\x86\msvcr120.dll
C:\Users\[username]\AppData\Local\Temp\x86\cpuminer-conf.json
C:\Users\[username]\AppData\Local\Temp\explorer.exe
C:\Users\[username]\AppData\Local\Temp\cpuminer-conf.json
C:\Users\[username]\AppData\Local\Temp\winlogon.exe
C:\Users\[username]\AppData\Local\Temp\api\websocket.htm
C:\Users\[username]\AppData\Local\Temp\msvcr120.dll
C:\Users\[username]\AppData\Local\Temp\run.vbs
C:\Users\[username]\AppData\Local\Temp\api\index.php
C:\Users\[username]\AppData\Local\Temp\LICENSE.txt
C:\Users\[username]\AppData\Local\Temp\api\local-sample.php
C:\Users\[username]\AppData\Local\Temp\cpuminer-x64.exe
Il Trojan esegue i file legittimi cpuminer-x86.exe o cpuminer-x64.exe in base all’architettura del PC infetto (32/64 bit) e lo scopo principale del malware è quello di utilizzare la CPU dell’utente vittima per “minare” bitcoin utilizzando il servizio web https://monero.crypto-pool.fr.
Di seguito un estratto del file di configurazione cpuminer-conf.json
…
“url” : “stratum+tcp://xmr.crypto-pool.fr:80”
“user”: “4ABmhw9KMKQFjKNMCis9Y1aqHVFo9spTUHdCwX7RQccdadn37d1hsid2mQqKVVod1EZLyyQipT7FPb6EXhHAhUxSAdYLDvW”,
“pass” : “x”,
…
La campagna risulta al momento attiva e consigliamo di bloccare sulle soluzioni di sicurezza file con il seguente MD5: 9eb45190079e29de371b4993f76920f1
Devi effettuare l'accesso per postare un commento.