L'azienda GuardiCore ha scoperto una campagna malevola di manipolazione del traffico e mining di criptovalute, che ha già infettato oltre 40.000 dispositivi in tutto il mondo e colpito svariate industrie, dall'educazione alla finanza.
Operation Prowli, questo il nome della campagna, utilizza svariate tecniche per diffondere i propri malware e prendere controllo delle macchine, come server, modem o dispositivi Internet of Things. L'obiettivo degli hacker, spiega GuardiCore, non presenta alcuna sfaccettatura ideologica: desiderano semplicemente generare profitti.
I dispositivi vengono infettati con un miner di Monero (XMR) e con il worm "r2r2", un malware che esegue attacchi brute-force SSH partendo dai computer delle vittime. In altre parole, generando casualmente blocchi di indirizzi IP, questo virus tenta di effettuare l'accesso alle macchine sfruttando un dizionario di nomi utenti e password. Una volte eseguito il login, r2r2 esegue immediatamente una serie di comandi. GuardiCore scrive:
"Gli attacchi sono tutti avvenuti nello stesso modo, comunicando con il medesimo server C&C per scaricare gli strumenti informatici denominati 'r2r2' ed un miner di criptovalute".
I criminali hanno inoltre utilizzato un webshell open source chiamato "WSO Web Shell", per alterare i portali compromessi e installare un codice malevolo, che ha lo scopo di reindirizzare i visitatori verso altri siti. Una volta su queste pagine, le vittime installano con l'inganno estensioni per il browser o altri software pericolosi. Il team di GuardiCore afferma che Prowli è già riuscito a compromettere oltre 9.000 compagnie.
Lo scorso mese, un malware di cryptojacking ha sfruttato la potenza computazionale di mezzo milione di computer per generare circa 133 unità di Monero in appena tre giorni. Il malware, chiamato WinstarNssmMiner, risulta parecchio ostico da eliminare: manda infatti in crash il computer non appena si cerca di avviare un antivirus.