martedì 16 maggio 2017 di Michele Nasi 3394 Letture
Attacco meno chiassoso di WannaCry attiva una backdoor: che significa

Attacco meno chiassoso di WannaCry attiva una backdoor: che significa

Prima dell'azione plateale di WannaCry, che ha infettato oltre 200.000 sistemi in tutto il mondo, un gruppo di aggressori informatici ha usato la stessa falla di sicurezza di Windows (risolvibile con l'installazione dell'aggiornamento MS17-010) per installare una backdoor e attivare un miner di crittovalute.

Non c'è solamente WannaCry ad aver sfruttato la falla risolta da Microsoft con la distribuzione dell'aggiornamento MS17-010 (Come verificare la presenza della patch MS17-010 che protegge da WannaCry).

Secondo gli esperti di Proofpoint, un altro malware - del quale non si è affatto parlato - avrebbe agito da fine aprile scorso usando un profilo molto più basso.
Evitando di insospettire le vittime con la visualizzazione di messaggi o con comportamenti plateali (WannaCry è un ransomware che cifra i file dell'utente e chiede un riscatto in denaro, da versarsi sotto forma di Bitcoin), il malware di cui parla Proofpoint è una backdoor che installa un miner di crittomonete (in questo caso non Bitcon ma Monero, crittovaluta molto conosciuta e utilizzata nel "mercato nero").

Attacco meno chiassoso di WannaCry attiva una backdoor: che significa

Utilizzando la stessa identica vulnerabilità sulla quale ha fatto leva WannaCry (infettando oltre 200.000 sistemi Windows in 150 nazioni), gli autori dell'attacco di cui parlano i tecnici di Proofpoint hanno dapprima installato la backdoor DoublePulsar per poi disporre il download e l'installazione automatica di Adylkuzz.
Quest'ultimo è un software che svolge la cosiddetta attività di mining delle crittovalute e che permette a chi lo utilizza di ottenere denaro a fronte di un'intensa attività computazionale (vedere l'articolo Monete virtuali: Bitcoin ha un nuovo fratello, Stellar).

Dopo aver infettato i sistemi Windows sprovvisti della patch MS17-010, quindi, ciascun sistema è così entrato a far parte di una botnet al servizio degli sviluppatori del malware.


Da Proofpoint si spiega che è bastato collegare una macchina Windows alla rete Internet senza alcun tipo di protezione (i.e. firewall/NAT), con la porta TCP 445 aperta e senza patch MS17-010, per ricevere l'infezione DoublePulsar+Adylkuzz nel giro di appena 20 minuti.


L'attività di mining svolta sulle macchine Windows infettate è talmente intensa che queste diventano praticamente inutilizzabili (CPU e GPU vengono sollecitate al massimo).