Una scoperta particolarmente minacciosa è stata rivelata dal Global Research and Analysis Team (GReAT) di Kaspersky. In pratica, a capodanno dello scorso anno è stato attuato un attacco che ha diffuso versioni di videogiochi gratuiti e infetti tramite siti torrent.
Il malware dell’infezione è un pericoloso cryptominer che, come spiegato dai ricercatori di GReAT, “eseguiva un miner open-source modificato per generare criptovalute Monero senza il consenso dell’utente”. I Paesi colpiti, al momento, sembrano essere soltanto Germania, Brasile, Bielorussia, Kazakistan e Russia, ma non è esclusa l’Italia.
Chi ha generato l’attacco è probabilmente di lingua russa, ma per ora non se ne conosce l’identità, dato anche che nessuno ha rivendicato l’attacco, a differenza di NoName057(16), il gruppo hacker filorusso che ha attaccato siti italiani in questi giorni.
Tatyana Shishkova, Lead Security Researcher di Kaspersky GReAT, ha commentato la vicenda dei videogiochi gratuiti infetti dal cryptominer in questione:
I criminali informatici sono riusciti a sfruttare la scarsa attenzione e l’aumento del traffico torrent durante le festività natalizie, approfittando della voglia degli utenti di ottenere giochi gratuiti. Per poter utilizzare i videogame moderni, generalmente è necessario un PC potente con molta capacità di elaborazione e il fatto che gli attaccanti abbiano cercato di colpire queste potenti dispositivi da gioco spiega il fatto che la minaccia era indirizzata specificamente ai gamer. La distribuzione dell’impianto miner è avvenuta tramite catene di esecuzione e tecniche sofisticate che hanno reso più difficile il rilevamento e la tracciabilità della campagna.
Videogiochi gratuiti infetti: come agisce cryptominer
I videogiochi gratuiti infetti da cryptominer includono titoli quali: BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox e Plutocracy. Ma come agisce questo particolare malware? Lo ha spiegato il Global Research and Analysis Team (GReAT):
I file di installazione del gioco, distribuiti tramite archivi, venivano decompressi e parti dagli utenti. L’avvio dei programmi di installazione sui PC ha attivato una sofisticata catena di infezione, in cui i cybercriminali hanno adottato numerose tattiche per evitare il rilevamento durante il processo di installazione. Il malware, infatti, raccoglieva diversi identificatori del dispositivo, tra cui la versione del sistema operativo e l’indirizzo IP, al fine di determinare il Paese di residenza dell’utente.
Il 31 dicembre, il malware precedentemente installato nei computer delle vittime ha ricevuto un comando dal server degli attaccanti che ha scaricato ed eseguito un XMRig miner leggermente modificato, un software open-source progettato per minare la criptovaluta Monero (XMR) utilizzando la CPU o la GPU del computer della vittima. Sebbene XMRig venga spesso utilizzato legittimamente dai miner, in questo caso è stato usato con intenti malevoli.
Come proteggersi da questo cryptominer e altre minacce simili
Per proteggersi da questo cryptominer e da altre minacce simili è necessario acquisire buone abitudini, consigliate anche dagli esperti del GReAT. Prima di tutto è importante scaricare software e videogiochi da fonti ufficiali e attendibili, evitando piattaforme o torrent sconosciuti per il download di videogiochi gratuiti che poi si rivelano infetti.
Questa pratica si aggiunge anche alla scelta di download di software legittimi evitando quindi siti web sconosciuti. Inoltre, è buona pratica aggiornare regolarmente sistema operativo, applicazioni e antivirus.
