Iscriviti al nostro nuovo canale YouTube, attiva le notifiche e rimani aggiornato su tutti i nuovi video

Criminali sfruttano la vulnerabilità DLL sideloading di OneDrive per lanciare campagne di cryptojacking

Criminali sfruttano la vulnerabilità DLL sideloading di OneDrive per lanciare campagne di cryptojacking

I ricercatori di Bitdefender hanno individuato una serie di campagne di attacchi criptojacking contro OneDrive. Gli attaccanti usano vulnerabilità DLL sideloading note per ottenere la persistenza e venire eseguita senza essere rilevata sui dispositivi infetti

di pubblicata il , alle 11:01 nel canale Security
BitdefenderCloud Security
 

Nel periodo che va dal 1° maggio al 1° luglio, i ricercatori di Bitdefender hanno documentato una campagna di hacking che fa leva su vulnerabilità note di tipo DLL sideloading in OneDrive per effettuare operazioni di criptojacking. In questi casi, i criminali informatici non sottraggono dati riservati né ricattano le vittime tramite ransomware, ma sfruttano la potenza di calcolo dei sistemi violati per minare criptovalute. Va però detto che le stesse vulnerabilità potrebbero venire usare per scagliare altri tipi di attacco. 

La vulnerabilità DLL Side-Loading di OneDrive

La tecnica di attacco del DDL Sideloading è relativamente semplice: gli attaccanti confezionano una libreria dal nome secure32.dll e la caricano sul computer di una vittima nella cartella %LocalAppData%\Microsoft\OneDrive. Fatto questo configurano il registro di Windows in modo da avviare onedrive.exe a ogni riavvio del computer, così da garantirsi la persistenza nel sistema. 

cryptojacking bitdefender

Questa libreria modificata non farà altro che scaricare dei miner open source da Internet e sfruttare le risorse di calcolo del computer vittima per minare criptovalute. Basterebbe però poco a un accattante per modificare la secure32.dll per avviare un ransomware o altri tipi di malware. Attualmente Bitdefender ha identificato questo tipo di attacco sui computer di circa 700 vittime.

Al contrario di altre tipologie di attacchi, in questo caso non viene usato un server C&C (Command & Control) per gestire da remoto complesse operazioni. L'unico modo con cui il malware di cryptojacking comunica con gli attaccanti è tramite un canale Telegram, usato per inviare i dati delle vittime ai malvivemnti.

C'è da dire che questo tipo di attacco è anomalo: utilizzando le risorse di calcolo di semplici computer, difficilmente è possibile ottenere grandi cifre. Lo confermano i ricercatori stessi: spiegando che mediamente questa campagna ha generato ricavi illeciti per l'equivalente di 13 dollari a computer infettato. Come già detto, però, modificando il payload del malware i danni potrebbero essere ben più estesi. Il consiglio è quello di aggiornare tutti i sistemi e, inevitabilmente, utilizzare dei sistemi di protezione per gli endpoint. Bitdefender Endpoint Security Tools, per  esempio, è in grado di identificare questa minaccia e bloccarla prima che venga installata sul sistema. 

A questo indirizzo, è possibile accedere a un white paper che descrive nel dettaglio le modalità di attacco. 

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Peppe197011 Ottobre 2022, 12:37 #1
Originariamente inviato da: Redazione di Hardware Upgrade

I ricercatori di Bitdefender hanno individuato una serie di campagne di attacchi criptojacking contro OneDrive. Gli attaccanti usano vulnerabilità DLL sideloading note per ottenere la persistenza e venire eseguita senza essere rilevata sui dispositivi infetti


Oh!.. ma questi ricercatori di bitdefender "ce li hanno proprio quadrati!"

La vulnerabilità Dll sideloading la sfrutta da anni, anche la mia vicina di casa
90enne (con tutto rispetto alla mia vicina)

Siamo messi veramente male!
zappy12 Ottobre 2022, 11:45 #2
non ho capito... onedrive.exe esegue le dll che trova in %LocalAppData%\Microsoft\OneDrive, così a casaccio?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^