È stato identificato lo schema di una frode che prevede la distribuzione e l’installazione clandestina di un software di mining sui computer degli utenti tramite un software pirata, sfruttando gli stessi per la creazione di cripto valute, garantendo dei profitti ai criminali. L’entusiasmo relativo alle cripto valute gioca a favore dei criminali, ingannando gli utenti meno esperti. Nel 2017 i miner di criptovaluta sono diventati una delle principali tendenze. I criminali utilizzano diversi strumenti e tecniche, come le campagne di social engineering o l’exploiting di software compromessi, al fine di danneggiare il maggior numero possibile di computer. Kaspersky Lab evidenzia una delle tecniche di frode utilizzate, che consiste nel creare siti web che offrono agli utenti la possibilità di fare il download gratuito di versioni pirata di software come noti programmi per computer e applicazioni. Per risultare più credibili, i criminali hanno utilizzato nomi per i domini simili a quelli reali. Dopo aver scaricato il software, l’utente riceve un archivio che contiene anche un programma di mining. Questo programma viene quindi installato automaticamente insieme al software desiderato. Dopo essere stati installati, i miner iniziano ad operare silenziosamente sul computer della vittima, generando cripto monete per i criminali. Inoltre, gli esperti hanno scoperto che alcuni miner contenevano una funzione speciale che permetteva all’utente di modificare da remoto il numero di wallet, il pool o il miner. Morten Lehn, general manager Italy di Kaspersky Lab, ha riportato la seguente dichiarazione: “Sebbene non venga considerato dannoso, il software di mining riduce le performance di sistema del dispositivo e questo inevitabilmente influisce sull’esperienza utente nel suo complesso. Inoltre, aumenta il consumo di elettricità e anche se questa non rappresenta la peggiore delle conseguenze, rimane comunque un effetto spiacevole. Anche se ad alcune persone potrebbe andar bene che uno sconosciuto diventi più ricco a spese proprie, noi consigliamo agli utenti di opporsi a questi tentativi perché anche se non vengono condotti con software nocivi standard rappresentano comunque un’attività fraudolenta”. Per evitare che il computer diventi parte di una rete di mining, consiglio di effettuare il download solo di software legali provenienti da fonti sicure e di installare una soluzione di sicurezza affidabile che protegga da tutte le possibili minacce, incluso il software di mining dannoso. Il mio primo intervento a caccia del miner è nato da una richiesta d’intervento di assistenza tecnica per una ditta che lamentava molta lentezza nell’eseguire programmi sul computer e mancanza della libreria Opengl32.dll con segnalazione di errore. Recuperato e copiato il file Opengl32.dll nel suo percorso c:windowssystem32, e scomparso l’errore, ho aperto i processi attivi nella gestione attività e ho analizzato tutto quello che accadeva in tempo reale sul computer. Saltuariamente notavo due programmi denominati “windowsdefender” e “windowsupdate” che apparivano per pochi secondi e poi scomparivano. Sul computer è installato Kaspersky antivirus, e analizzando i registri delle scansioni, notavo una segnalazione di software dannoso nel percorso UtenteAppdataRoamingMicrosoftWindowsSubnet. La cartella era invisibile, e attivato la visione dei file nascosti trovo una serie di programmi compreso i due indiziati, poi nella cartella start-up trovo anche il file batch che eseguiva il programma fraudolento. Vi erano anche molti file di log che il programma generava per la criptovaluta “ETHEREUM”. Kill dei processi in memoria e cancellazione del file di batch e della cartella nascosta. Pulizia approfondita con cleanmgr e 51 GB di spazio recuperato.