Alla fine di gennaio, gli esperti di Kaspersky hanno rilevato un drastico aumento di applicazioni fake che installano miner di criptovaluta Monero sui computer degli utenti.
Le applicazioni vengono distribuite attraverso siti web dannosi che appaiono tra i risultati di ricerca della vittima. Secondo gli esperti, potrebbe essere il proseguimento di una campagna dannosa che ha avuto luogo durante l’estate e già stata segnalata dai membri della community di sicurezza. In quell’occasione, i criminali informatici avevano distribuito i miner nascosti in finti programmi di installazione di un antivirus.
Durante la seconda ondata di attacchi nel 2021, l’installer XMRig ha assunto le sembianze di diverse nuove applicazioni, come gli ad blocker AdShield e Netshield e il servizio OpenDNS. Il malware viene distribuito sfruttando i nomi di famose applicazioni legittime per sistemi mobile e tenta di apparire come un’equivalente versione per Windows. Quando l’utente avvia manualmente il programma, quest’ultimo cambia le impostazioni DNS sul dispositivo in modo che tutti i domini vengano risolti attraverso i server degli attaccanti. Questi server, a loro volta, impediscono agli utenti di accedere a determinati siti antivirus, come Malwarebytes.com. Come payload finale, il pacchetto contiene il famigerato miner open-source XMRig.
Secondo quanto emerso dai dati raccolti attraverso il Kaspersky Security Network, fino all’inizio di febbraio 2021, gli attaccanti hanno tentato di installare app fake sui dispositivi di 21.141 utenti.
Al culmine della campagna, sono stati attaccati più di 2.500 utenti al giorno, la maggior parte dei quali localizzati in Russia e nella Comunità degli Stati Indipendenti.
Le soluzioni di sicurezza di Kaspersky rilevano le minacce precedentemente descritte con i seguenti nomi:
- Win64.Patched.netyyk
- Win32.DNSChanger.aaox
- Win64.Miner.gen
- HEUR:Trojan.Multi.Miner.gen
