I ricercatori di Kaspersky Lab hanno identificato lo schema di una frode che prevede la distribuzione e l’installazione clandestina di un software di mining sui PC degli utenti tramite un software pirata comunemente utilizzato per lavoro o per l’intrattenimento, come ad esempio editor di foto e di testo. I PC sono stati, quindi, sfruttati per la creazione di cripto valute e hanno garantito dei profitti ai criminali coinvolti.
Sono sempre di più i criminali informatici che tengono d’occhio lo sviluppo del mercato della cripto valuta che continua a registrare notevoli aumenti nel numero e nel valore degli investimenti. Il fatto che l’entusiasmo relativo alle crypto valute coinvolga molte persone gioca a favore dei criminali poiché diventa più semplice ingannare gli utenti meno esperti. Nel 2017, secondo il Kaspersky Security Bulletin, i miner di criptovaluta sono diventati una delle principali tendenze. Lo scorso anno, i ricercatori di Kaspersky Lab, avevano previsto questo trend rilevando il ritorno del software di mining in collegamento alla crescente popolarità di Zcash. Solo un anno dopo, i miner si sono diffusi notevolmente. I criminali utilizzano diversi strumenti e tecniche, come le campagne di social engineering o l’exploiting di software compromessi, al fine di danneggiare il maggior numero possibile di PC.
Gli esperti di Kaspersky Lab hanno scoperto che una delle tecniche di frode utilizzate consiste nel creare siti web che offrono agli utenti la possibilità di fare il download gratuito di versioni pirata di software come noti programmi per pc e applicazioni. Per risultare più credibili, i criminali hanno utilizzato nomi per i domini simili a quelli reali. Dopo aver scaricato il software, l'utente riceve un archivio che contiene anche un programma di mining. Questo programma viene quindi installato automaticamente insieme al software desiderato.
L'archivio di installazione include file di testo contenenti informazioni di inizializzazione: gli indirizzi di wallet e pool di mining. Un pool di mining è un server che unisce diversi partecipanti distribuendo l'attività di mining tra i computer di questi ultimi. In cambio, i partecipanti ricevono la loro quota di cripto valuta il cui mining è più rapido di quanto avverrebbe se il mining avvenisse solo attraverso il proprio PC. A causa delle particolarità architettoniche, il mining dei Bitcoin e di altre cripto valute è attualmente un'operazione molto dispendiosa in termini di risorse e di tempo, pertanto tali pool aumentano significativamente la produttività e la velocità della generazione di cripto valute.
Dopo essere stati installati, i miner iniziano a operare silenziosamente sul PC della vittima, generando cripto monete per i criminali. Secondo la ricerca di Kaspersky Lab, in tutti i casi rilevati, è stato utilizzato il software del progetto NiceHash, che ha recentemente subito una grave violazione della sicurezza informatica con conseguente furto di cripto valuta per milioni di dollari. Alcune delle vittime erano collegate a un pool di mining con lo stesso nome.
Inoltre, gli esperti hanno scoperto che alcuni miner contenevano una funzione speciale che permetteva all'utente di modificare da remoto il numero di wallet, il pool o il miner. Ciò significa che i criminali, in qualsiasi momento, potrebbero impostare un'altra destinazione per la cripto valuta e quindi gestire i propri guadagni distribuendo il mining flow tra i wallet o persino sfruttare il computer della vittima per un altro pool di mining.
"Sebbene non venga considerato dannoso, il software di mining riduce le performance di sistema del dispositivo e questo inevitabilmente influisce sull'esperienza utente nel suo complesso. Inoltre, aumenta il consumo di elettricità e anche se questa non rappresenta la peggiore delle conseguenze, rimane comunque un effetto spiacevole. Anche se ad alcune persone potrebbe andar bene che uno sconosciuto diventi più ricco a spese proprie, noi consigliamo agli utenti di opporsi a questi tentativi perché anche se non vengono condotti con software nocivi standard rappresentano comunque un'attività fraudolenta", afferma Morten Lehn, General Manager Italy di Kaspersky Lab.
