OneDrive utilizzato per eseguire mining di criptovalute: come funziona l'attacco

Il noto meccanismo di attacco DLL hijacking consiste nell’utilizzo di tecniche che permettono di forzare il caricamento di una libreria DLL esterna al programma legittimo. Questa tattica viene utilizzata per eseguire codice arbitrario a partire dal file eseguibile di un’applicazione di per sé assolutamente legittima.

Come si può verificare usando un’applicazione quale Process Monitor, Windows va alla ricerca delle librerie DLL che servono per il caricamento di un eseguibile seguendo un preciso “protocollo”.
A seconda che la libreria DLL sia conosciuta (indicata nella chiave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs del registro di sistema) o meno, Windows effettua una ricerca del file DLL nella cartella contenente l’eseguibile, nella cartella corrente, nel percorso %systemroot%\system32, nella directory %systemroot%.

Bitdefender ha scoperto che i criminali informatici stanno utilizzando la tecnica DLL hijacking per eseguire codice non autorizzato sui sistemi Windows ove è installato OneDrive. Al momento viene disposto il caricamento di una routine che effettua il mining di criptovalute ma nulla impedisce l’esecuzione di codice malevolo.

Gli aggressori inseriscono una libreria secure32.dll nella cartella di sistema %localappdata%\Microsoft\OneDrive che viene poi rilevata e caricata dagli eseguibili OneDrive.exe e OneDriveStandaloneUpdater.exe.
Il processo di aggiornamento di OneDrive è programmato per essere avviato una volta al giorno: ciò garantisce che il malware venga caricato almeno una volta al giorno sul sistema, a meno che nel frattempo non venga rilevato dalla soluzione antimalware installata sul sistema.

Dopo l’avvio il falso secure32.dll scarica il software di mining delle criptovalute e lo inietta nei processi Windows legittimi. Bitdefender osserva che, sebbene attualmente l’attacco sia limitato al mining di criptovalute, gli aggressori hanno opzioni per passare ad altri attacchi dannosi, compresa la distribuzione di spyware e ransomware.

La società di sicurezza consiglia di installare OneDrive “per macchina” anziché “per utente” sui computer Windows per evitare l’attacco DLL hijacking.

Perché l’attacco a OneDrive vada a buon fine è ovviamente necessario che sul sistema della vittima venga eseguito codice malevolo. L’utilizzo di una protezione affidabile contro le minacce informatiche, l’applicazione delle patch di sicurezza per sistema operativo, browser, client di posta, per i vari software e, infine, l’uso del buon senso dovrebbero aiutare a prevenire l’attacco.