Gli esperti di Bitdefender avvertono del cryptojacking tramite una vulnerabilità del sideload DLL in Microsoft OneDrive. Bitdefender ha già rilevato 700 casi di attacchi su Microsoft OneDrive a maggio e giugno 2022. La Germania è la più colpita.
Il cryptojacking è un rischio crescente: gli hacker utilizzano le risorse di computer o dispositivi mobili infetti per utilizzare le proprie risorse per la crittografia. A maggio e giugno 2022, Bitdefender ha scoperto una campagna di attacco globale in cui i criminali informatici sfruttano vulnerabilità note caricando file DLL in Microsoft OneDrive per installare malware crittografico sui sistemi delle vittime. In linea di principio, possono scaricare qualsiasi malware tramite la vulnerabilità, incluso il malware.
Crittografia del malware in base alla vulnerabilità
Il sistema operativo Windows e altre applicazioni sono basati su file DLL che forniscono o estendono funzionalità. Quando un’applicazione necessita di una funzione in una particolare DLL, la ricerca nell’ordine predeterminato, prima nella directory da cui è stata caricata l’applicazione, quindi nella directory di sistema, nella directory di sistema a 16 bit, nella directory di Windows, in la directory attualmente in uso e di recente nelle directory elencate nella variabile di ambiente path. Se il percorso completo dei file DLL richiesti non è specificato, l’applicazione proverà a trovare il file nei percorsi indicati. Se gli hacker implementano una DLL dannosa nel percorso di ricerca, caricherà ed eseguirà automaticamente l’applicazione al posto dell’applicazione che ne ha effettivamente bisogno.
Scarica DLL dannose tramite OneDrive.exe
Nell’attacco analizzato da Bitdefender, gli aggressori scrivono un falso file secure32.dll in %appdata%\Local\Microsoft\OneDrive\ senza privilegi speciali. OneDrive elabora OneDrive.exe o OneDriveStandaloneUpdater.exe e quindi li carica. Poiché %appdata%\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe è programmato per essere eseguito quotidianamente, i file DLL falsi ora sono ancora presenti nel sistema della vittima.
Inoltre, gli aggressori installano la DLL falsa nel sistema tramite %appdata%\Local\Microsoft\OneDrive\OneDrive.exe. È possibile configurare OneDrive.exe per l’avvio a ogni riavvio utilizzando il registro di Windows. Dopo che il falso file secure32.dll è stato caricato tramite quei processi OneDrive, ricarica il programma di crittografia e lo infetta nei processi Windows legittimi. Allo stesso modo, gli aggressori possono anche installare ransomware o spyware sui sistemi.
Nella campagna di criptovalute, gli hacker hanno implementato algoritmi per estrarre quattro criptovalute: Etchasch in particolare, oltre a ethash, ton e xmr. In media, i criminali informatici realizzano un profitto di $ 13 per computer infetto. Le vittime notano perdite nelle prestazioni dei sistemi.
Microsoft: installa OneDrive “per dispositivo”.
Gli utenti possono installare Microsoft OneDrive “per utente” o “per dispositivo”. L’impostazione predefinita è l’installazione “per utente”. In questa configurazione, gli utenti senza privilegi speciali possono scrivere nella cartella in cui si trova OneDrive. Gli hacker possono rilasciare malware qui, modificare file eseguibili o sovrascriverli completamente. Quindi Microsoft consiglia OneDrive “per dispositivo” Per installare e fornire istruzioni.
Più precauzioni
Tuttavia, l’installazione “per dispositivo” non è appropriata per ogni ambiente o livello di privilegio. Quindi Bitdefender avverte gli utenti di OneDrive di stare molto attenti. Sia la protezione antivirus che il sistema operativo utilizzato devono essere sempre aggiornati.
Informazioni su Bitdefender
Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell’azienda hanno fornito regolarmente prodotti di sicurezza eccellenti, protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza distribuite nel mondo ed è considerata affidabile e riconosciuta da professionisti del settore, produttori e consumatori. www.bitdefender.de
Articoli relativi all’argomento