I ricercatori di Kaspersky hanno individuato una campagna globale di cripto-mining attiva dal 2022, che sfrutta un software SIEM (Security Information and Event Management) open-source per eludere i sistemi di rilevamento e mantenere una presenza persistente sui dispositivi infetti.
Gli aggressori utilizzano malware camuffati da software popolari, come uTorrent e Microsoft Office, diffusi tramite siti web falsi, canali Telegram e video su YouTube. Sebbene l’obiettivo principale siano utenti di lingua russa, la campagna ha colpito a livello globale.
Secondo i dati di telemetria di Kaspersky, l’87,63% delle vittime si trova in Russia, con ulteriori infezioni registrate in Bielorussia, India, Uzbekistan e altri Paesi. Il malware estrae criptovalute in modo furtivo, preferendo valute anonime come Monero e Zephyr. Una delle tecniche chiave impiegate dagli attaccanti è l’uso improprio dell’agente SIEM Wazuh, uno strumento di sicurezza legittimo, per eseguire comandi remoti e assicurarsi il controllo dei sistemi compromessi.
Gli aggressori hanno anche utilizzato tecniche di SEO poisoning per promuovere siti web dannosi che imitano piattaforme di download di software noti, ingannando gli utenti e spingendoli a scaricare contenuti malevoli. Oltre ai falsi siti web, i canali Telegram e i video su YouTube hanno svolto un ruolo cruciale nella diffusione del malware, attirando soprattutto utenti interessati a criptovalute e mod di gioco. Sfruttando questi canali e piattaforme ampiamente utilizzati, i cybercriminali sono riusciti ad aggirare i metodi di rilevamento standard.
Un aspetto particolarmente preoccupante della campagna è l’abuso dell’agente SIEM Wazuh, che permette agli aggressori di eseguire comandi dannosi e aggirare le difese di sicurezza standard. Questa tattica, combinata con l’iniezione di malware in file legittimi firmati digitalmente, consente di mantenere una presenza persistente e non rilevata sui dispositivi infetti.
“L’abuso di strumenti di sicurezza legittimi come Wazuh per scopi malevoli rappresenta una tendenza allarmante che i professionisti della sicurezza informatica devono tenere sotto controllo. Utilizzando l’agente SIEM, gli aggressori riescono a mantenere una presenza duratura sui dispositivi infetti, rendendo più complesso il rilevamento e la rimozione del malware da parte delle soluzioni di sicurezza tradizionali”, ha dichiarato Alexander Kryazhev, Malware Analyst Team Lead di Kaspersky.
Per proteggere i dispositivi da cripto-miner e altre minacce informatiche, Kaspersky consiglia di:
- Aggiornare regolarmente il sistema operativo e tutti i software. Molti problemi di sicurezza possono essere risolti installando versioni aggiornate del software.
- Fare attenzione ai download e scaricare software e media solo da siti affidabili. Il software dannoso può essere allegato a software legittimo, soprattutto se scaricato da siti web di dubbia provenienza.
- Una soluzione di sicurezza affidabile, come Kaspersky Premium, consente di rilevare tutti i miner, compresi quelli che non surriscaldano o scaricano in modo evidente il dispositivo. Anche un miner progettato per interrompersi periodicamente finirà per usurare il telefono, e uno scadente potrebbe rovinarlo.
- Promuovere la consapevolezza sull’uso sicuro dei dispositivi elettronici, sia in ambito domestico che lavorativo.
- Utilizzare solo le estensioni e i componenti aggiuntivi del browser necessari, in quanto possono essere sfruttati o essere essi stessi dannosi. È necessario controllare regolarmente e rimuovere quelle che non sono necessarie.