Satori, il malware che infetta i PC dedicati al mining di criptovalute

Satori, il malware che infetta i PC dedicati al mining di criptovalute

Compromette il software Claymore Mining e cambia l'indirizzo del wallet di destinazione con uno controllato dall'attaccante. Non chiara la diffusione, ma potrebbe essere l'inizio di una nuova moda nel mondo delle minacce informatiche

di pubblicata il , alle 17:01 nel canale Sicurezza
 

Satori è una famiglia di malware, variante della più nota Mirai, che prende di mira router, ip-cam, dispositivi smart-tv e in generale qualsiasi dispositivo connesso alla rete allo scopo di trasformarli in soldatini di potenti botnet. Nella scorsa settimana i ricercatori di sicurezza della società cinese Netlab 360 hanno individuato una versione modificata di Satori che infetta i computer dedicati al mining di criptovalute.

Il malware prende il controllo del software di mining Claymore Mining (per il mining di Ethereum), con modalità non dettagliate nello specifico: tutto quello che si conosce è la capacità di compiere azioni di configurazione tramite la porta 3333, che non richiede autenticazione se il software viene lasciato con le impostazioni di default. Una volta preso il controllo del software, il malware va a sostituire l'indirizzo del wallet del proprietario del pc cui vengono raccolti i frutti del mining con un indirizzo controllato dall'attaccante (sia personale, sia di un eventuale mining pool). In questo modo l'attaccante può recuperare tutte le monetine digitali generati dal mining senza che il proprietario se ne possa accorgere se non controllando manualmente la configurazione del proprio software.

Un controllo dell'indirizzo del wallet dell'attaccante, recuperato da Netlab 360, mostra le ultime 10 transazioni relative all'indirizzo, nelle quali si scorgono vari spostamenti in ingresso e in uscita con movimentazioni nell'ordine di grandezza di pochi Ether, il cui valore nei giorni scorsi è arrivato a superare i 1400 dollari prima di subire gli effetti dei un grosso storno che ha interessato tutto il mercato delle criptovalute.

Non è chiaro, al momento, quale possa essere la diffusione di questa infezione, in quanto le uniche informazioni di contesto che posssono essere recuperabili sono i dati di capacità di calcolo indicati sull'indirizzo del mining pool, che comunque variano costantemente. Si può ipotizzare una diffusione da qualche decina a parecchie centinaia di sistemi (a seconda ovviamente delle GPU usate dai sistemi infetti), ma al di là di ciò è comunque opportuno considerare che questo nuovo malware può rappresentare l'inizio di una nuova "moda" nel campo delle minacce informatiche a cui potrebbero ispirarsi campagne anche più massicce.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
djmatrix61919 Gennaio 2018, 17:22 #1
FORZA SATORINI, distruggeteli tutti (che mi serve una nuova scheda video)!!! <3
ilbarabba19 Gennaio 2018, 17:58 #2
Originariamente inviato da: djmatrix619
FORZA SATORINI, distruggeteli tutti (che mi serve una nuova scheda video)!!! <3


Abbiamo smesso di minare eth con le vga da almeno 6 mesi
Da quando cioè costa più la corrente elettrica di quello che si riesce a tirare su.
nitro8919 Gennaio 2018, 18:09 #3
Se usi claymore e sai quello che stai facendo, controlli periodicamente il reported hashrate che arriva al pool.
nitro8919 Gennaio 2018, 18:15 #4
Originariamente inviato da: djmatrix619
FORZA SATORINI, distruggeteli tutti (che mi serve una nuova scheda video)!!! <3


https://eth.nanopool.org/account/0x...833c6ba8981a76a

Domanda a questa 'individuo' di dartene una (14000 macchine dove ciascuna ha ~5GPUs)
peronedj19 Gennaio 2018, 18:57 #5
si sa se attacca su windows o linux?
BlueKnight19 Gennaio 2018, 19:36 #6
Originariamente inviato da: ilbarabba
Abbiamo smesso di minare eth con le vga da almeno 6 mesi
Da quando cioè costa più la corrente elettrica di quello che si riesce a tirare su.


Tu e chi?!?
Perché ogni giorno che guardo le statistiche dei vari mining pool io vedo sempre un crescente numero di miner....
Dinofly19 Gennaio 2018, 19:56 #7
gli effetti dei un grosso storno

wat?

Originariamente inviato da: ilbarabba
Abbiamo smesso di minare eth con le vga da almeno 6 mesi
Da quando cioè costa più la corrente elettrica di quello che si riesce a tirare su.


Lol
rifai i conti amico mio, non è mai stato profittevole come ora...
ripsk19 Gennaio 2018, 21:25 #8
Originariamente inviato da: peronedj
si sa se attacca su windows o linux?

Probabilmente anche linux.
Io ho fatto un test su linux, con i valori di default e mettendo questo indirizzo su un browser della stessa macchina mi si è aperta la pagina con il log del miner:
http://localhost:3333/

Per disabilitare il monitoraggio remoto dovrebbe bastare aggiungere la seguente opzione quando si lancia il miner:
-mport 0
Con questa opzione il browser mi da errore di connessione.

Tratto dalla documentazione di claymore:
-mport remote monitoring/management port. Default port is 3333, specify "-mport 0" to disable remote monitoring/management feature. Specify negative value to enable monitoring (get statistics) but disable management (restart, uploading files), for example, "-mport -3333" enables port 3333 for remote monitoring, but remote management will be blocked. You can also use your web browser to see current miner state, for example, type "localhost:3333" in web browser.
sintopatataelettronica20 Gennaio 2018, 08:47 #10
Originariamente inviato da: ilbarabba
Abbiamo smesso di minare eth con le vga da almeno 6 mesi


A vedere i prezzi delle schede video (assurdi e sempre più fuori controllo) direi che - PURTROPPO - con le VGA ci hai smesso di minare solo tu

Ma quandò finirà 'sta follia del mining.. .?

Che pure io devo comprarmi una scheda video .. ma tutta la fascia media è diventata qualcosa di improponibile...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^