L’Anti-Malware Research team di Kaspersky Lab ha scoperto due mining botnet composte da computer infettati da malware (Win32.BitCoinMiner.hxao e PDM:Trojan.Win32.Generic) che installano segretamente miner di cryptovaluta, ovvero software legittimi usati per creare monete virtuali basate sulla tecnologia blockchain.

Secondo le analisi dei ricercatori di Kaspersky Lab, un network composto da 4.000 macchine fruttava ai suoi proprietari oltre 30.000 dollari al mese, mentre in un altro caso una botnet composta da 5.000 PC permetteva ai cyber criminali di guadagnare oltre 200.000 dollari.

I criminali che si celano dietro le botnet recentemente scoperte diffondono il software di mining grazie a programmi adware che le vittime installano volontariamente. Una volta installato sul computer della vittima, il programma adware scarica un componente nocivo: l’installer del miner.

Questo componente installa il software di mining e, affinché il miner possa operare il più a lungo possibile, svolge diverse attività, come tentare di disattivare il software di sicurezza e verificare che una copia del software di mining sia sempre presente sull’hard disk della vittima e ripristinarlo se viene eliminato.

Mining botnet

Non appena create, le monete virtuali vengono trasferite nei wallet dei criminali, lasciando le vittime alle prese con computer stranamente poco performanti e bollette dell’elettricità lievemente più alte del solito. Secondo quanto osservato da Kaspersky Lab, i criminali si concentrano su due cryptovalute: Zcash e Monero. Queste valute vengono probabilmente scelte perché offrono un modo affidabile di rendere anonimi i proprietari dei portafogli e le transazioni.

“Il problema principale con i miner nocivi è che è estremamente difficile rilevare in modo affidabile queste attività, poiché il malware usa software di mining assolutamente leciti, che in una situazione normale potrebbero essere stati installati da utenti legittimi. Abbiamo poi scoperto che i criminali vendono i cosiddetti miner builder, software che consentono a chi è disposto a pagare per la versione completa di creare la propria mining botnet. Questo significa che le botnet che abbiamo recentemente identificato non saranno sicuramente le ultime” ha commentato Evgeny Lopatin, Malware Analyst di Kaspersky Lab.

In generale, il numero di utenti che hanno incontrato i miner di cryptovaluta è aumentato drasticamente negli ultimi anni. Ad esempio, nel 2013 le soluzioni Kaspersky Lab hanno protetto circa 205.000 utenti in tutto il mondo presi di mira da questo tipo di minaccia. Nel 2014 questa cifra è salita a 701.000, mentre nei primi otto mesi del 2017 il numero di utenti attaccati ha raggiunto quota 1,65 milioni.