Alfonso Maruccia

WaterMiner, un altro malware mina-Monero

Un cyber-criminale russo ha preso la via del gaming per distribuire il suoi mining di criptomonete, anche se probabilmente non si tratta di un professionista vista la scarsa opsec con cui ha coperto (anzi rivelato) le proprie tracce online

Roma - Il nuovo malware progettato per incassare guadagni con il mining di Monero si chiama WaterMiner, arriva dalla Russia e si camuffa sotto le mentite spoglie di una "modification" per Grand Theft Auto V, capolavoro videoludico che continua a vendere milioni di copie e quindi ad attirare utenti e cyber-criminali.

Come già verificato nel recente passato, WaterMiner è basato sul codice open source di un tool di mining più che legittimo (XMRig) a cui è stata aggiunta (tra le altre cose) la capacità di interrompere l'esecuzione nel caso in cui l'utente abbia caricato un programma capace di tracciare l'uso delle risorse hardware da parte del software in memoria.

In casi del genere WaterMiner vuole insomma passare inosservato senza consumare preziosi cicli-macchina della CPU; nel caso in cui il mining non risultasse tracciato, invece, il malware usa la porta TCP 45560 per comunicare con il resto delle macchine infette e condividere le risorse per la produzione di criptomoneta.

L'autore di Arbuz, vale a dire il MOD per GTA V usato per distribuire WaterMiner, è un criminale russo (noto anche come 0pc0d3r) che, diversamente dal codice del suo malware, non sembra tenere affatto alla propria riservatezza: i ricercatori lo hanno scovato grazie alla sua attività sui social, fatto che indicherebbe la scarsa esperienza dell'hacker in materia di cyber-crimine.

La campagna malevola di WaterMiner è in ogni caso l'ennesima riconferma della popolarità di Monero presso i cyber-criminali, ed è altamente probabile che non tutti siano individuabili con la stessa facilità con cui è stato scovato 0pc0d3r.

Alfonso Maruccia

fonte immagine
Notizie collegate
21 Commenti alla Notizia WaterMiner, un altro malware mina-Monero
Ordina
  • cosa viene contestato a questi 'hacker'?
    di avere distribuito software con funzionalità nascoste?
    Il 99% dei programmi closed ricade in questo modello...
    non+autenticato
  • - Scritto da: mementomori
    > cosa viene contestato a questi 'hacker'?
    > di avere distribuito software con funzionalità
    > nascoste?
    > Il 99% dei programmi closed ricade in questo
    > modello...


    Solo il 99%?
    Sinceramente pensavo qualcosa in piu'.
  • - Scritto da: panda rossa
    > Solo il 99%?
    > Sinceramente pensavo qualcosa in piu'.
    Il rimanente è il volume di mercato dei pc con linux
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    > > Solo il 99%?
    > > Sinceramente pensavo qualcosa in piu'.
    > Il rimanente è il volume di mercato dei pc con
    > linux

    No, il rimanente è composto da quelli che ancora credono di avere quel quid in più perché usano il mac
    non+autenticato
  • - Scritto da: mementomori
    > cosa viene contestato a questi 'hacker'?
    > di avere distribuito software con funzionalità
    > nascoste?
    > Il 99% dei programmi closed ricade in questo
    > modello...
    sei una capra. a parte il crapware per windoze, ormai ci sono cazzoni di ogni risma che ti mettono il mining in javascript in ogni tipologia di sito. ed e' a spese tue.
    non+autenticato
  • Ma sì sarà un cazzone che ha un blog e ci ha messo anche lui quella roba e quindi vuole sentirsi moralmente in pace pensando che "tanto tutti fanno cose del genere". Prima probabilmente ci metteva i dialer.

    O quello, o è proprio un coglione.
    non+autenticato
  • - Scritto da: bubba
    > sei una capra. a parte il crapware per windoze,
    > ormai ci sono cazzoni di ogni risma che ti
    > mettono il mining in javascript in ogni tipologia
    > di sito. ed e' a spese tue.

    Ah bubba, mi deludi.
    Limitare/disabilitare .js è cosa che pure i bambini ormai sanno fare.
    non+autenticato
  • Balle, chiedi in giro fra chi ha un computer qualasiasi, e vedrai che 3 su quattro non sanno manco di cosa stai parlando.
    non+autenticato
  • - Scritto da: ...
    > Balle, chiedi in giro fra chi ha un computer
    > qualasiasi, e vedrai che 3 su quattro non sanno
    > manco di cosa stai parlando.

    Anche per gli ad-block, fino a qualche anno fa, la situazione era così.
    Ora, invece, quasi tutti vanno di ad-blocking. Se non altro, anche grazie alle varie funzionalità di ad-blocking già integrate nelle versioni più recenti di alcuni browser (sia mobili che non).
    Lo stesso avverrà, se non sta già accadendo, per questa nuova moda dei miners-js. Si diffonderà l'uso di no-script et similia, come già successo con gli ad-block.
    non+autenticato
  • - Scritto da: bubbolo
    > Si diffonderà
    > l'uso di no-script et similia, come già successo
    > con gli
    > ad-block.

    Al massimo su qualche sito noto, per il resto dubito.
    Già far fuori Flash è (tuttora) un parto, figurati droppare JS dal momento che ci gira di tutto.
    non+autenticato
  • - Scritto da: figlio di sura maria
    > Già far fuori Flash è (tuttora) un parto,

    Flash sopravvive esclusivamente dove non è conveniente offrire alternative, perché son posti che non li caga nessuno. E poco male, tanto appunto non se li cagava nessuno.

    Dove invece la convenienza c'è, sta tranquillo che flash lo gettano felicemente nel cesso. O al massimo lo tengono come alternativa per retro-compatibilità.

    > figurati droppare JS dal momento
    > che ci gira di tutto.

    E chi dice di dropparlo in toto? Semplicemente con no-script e simili, l'utenza si andrà a bloccare la parte di mining, lasciando attivo il resto. Come con gli ad-block, né più né meno.
    non+autenticato