Satori, il malware che infetta i PC dedicati al mining di criptovalute
Compromette il software Claymore Mining e cambia l'indirizzo del wallet di destinazione con uno controllato dall'attaccante. Non chiara la diffusione, ma potrebbe essere l'inizio di una nuova moda nel mondo delle minacce informatiche
di Andrea Bai pubblicata il 19 Gennaio 2018, alle 17:01 nel canale SicurezzaSatori è una famiglia di malware, variante della più nota Mirai, che prende di mira router, ip-cam, dispositivi smart-tv e in generale qualsiasi dispositivo connesso alla rete allo scopo di trasformarli in soldatini di potenti botnet. Nella scorsa settimana i ricercatori di sicurezza della società cinese Netlab 360 hanno individuato una versione modificata di Satori che infetta i computer dedicati al mining di criptovalute.
Il malware prende il controllo del software di mining Claymore Mining (per il mining di Ethereum), con modalità non dettagliate nello specifico: tutto quello che si conosce è la capacità di compiere azioni di configurazione tramite la porta 3333, che non richiede autenticazione se il software viene lasciato con le impostazioni di default. Una volta preso il controllo del software, il malware va a sostituire l'indirizzo del wallet del proprietario del pc cui vengono raccolti i frutti del mining con un indirizzo controllato dall'attaccante (sia personale, sia di un eventuale mining pool). In questo modo l'attaccante può recuperare tutte le monetine digitali generati dal mining senza che il proprietario se ne possa accorgere se non controllando manualmente la configurazione del proprio software.
Un controllo dell'indirizzo del wallet dell'attaccante, recuperato da Netlab 360, mostra le ultime 10 transazioni relative all'indirizzo, nelle quali si scorgono vari spostamenti in ingresso e in uscita con movimentazioni nell'ordine di grandezza di pochi Ether, il cui valore nei giorni scorsi è arrivato a superare i 1400 dollari prima di subire gli effetti dei un grosso storno che ha interessato tutto il mercato delle criptovalute.
Non è chiaro, al momento, quale possa essere la diffusione di questa infezione, in quanto le uniche informazioni di contesto che posssono essere recuperabili sono i dati di capacità di calcolo indicati sull'indirizzo del mining pool, che comunque variano costantemente. Si può ipotizzare una diffusione da qualche decina a parecchie centinaia di sistemi (a seconda ovviamente delle GPU usate dai sistemi infetti), ma al di là di ciò è comunque opportuno considerare che questo nuovo malware può rappresentare l'inizio di una nuova "moda" nel campo delle minacce informatiche a cui potrebbero ispirarsi campagne anche più massicce.
12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoAbbiamo smesso di minare eth con le vga da almeno 6 mesi
Da quando cioè costa più la corrente elettrica di quello che si riesce a tirare su.
https://eth.nanopool.org/account/0x...833c6ba8981a76a
Domanda a questa 'individuo' di dartene una (14000 macchine dove ciascuna ha ~5GPUs)
Da quando cioè costa più la corrente elettrica di quello che si riesce a tirare su.
Tu e chi?!?
Perché ogni giorno che guardo le statistiche dei vari mining pool io vedo sempre un crescente numero di miner....
wat?
Da quando cioè costa più la corrente elettrica di quello che si riesce a tirare su.
Lol
rifai i conti amico mio, non è mai stato profittevole come ora...
Probabilmente anche linux.
Io ho fatto un test su linux, con i valori di default e mettendo questo indirizzo su un browser della stessa macchina mi si è aperta la pagina con il log del miner:
http://localhost:3333/
Per disabilitare il monitoraggio remoto dovrebbe bastare aggiungere la seguente opzione quando si lancia il miner:
-mport 0
Con questa opzione il browser mi da errore di connessione.
Tratto dalla documentazione di claymore:
A vedere i prezzi delle schede video (assurdi e sempre più fuori controllo) direi che - PURTROPPO - con le VGA ci hai smesso di minare solo tu
Ma quandò finirà 'sta follia del mining.. .?
Che pure io devo comprarmi una scheda video .. ma tutta la fascia media è diventata qualcosa di improponibile...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".