Una botnet progettata per minare criptovalute è stata fermata in queste ore, portando avanti un nuovo affondo grazie ai ricercatori che ne hanno tracciate le attività e le fonti. Ancora una volta la criptovaluta utilizzata è il Monero, il tutto mettendo assieme una rete di ben 35 mila sistemi Windows compromessi.
Affondata la botnet VictoryGate
La botnet è stata ribattezzata VictoryGate, era attiva da metà 2019 e nel tempo, spiegano i ricercatori ESET, ne erano state identificate diverse varianti. Molto interessante è il dettaglio sul processo innescato per sviluppare la botnet: inizia tutto con l’infezione iniziale che trasforma il client in uno strumento al giogo di malintenzionati remoti che ne sfruttano in seguito le risorse per tornaconto basato sul mining:
L’infezione prende avvio tramite un dispositivo USB infetto che ha apparentemente tutti i file con gli stessi nomi e icone che conteneva in origine. Per questo motivo, i contenuti appariranno quasi identici a prima vista, tuttavia, i file originali sono stati copiati in una directory nascosta e gli eseguibili di Windows sono stati forniti come omonimi apparenti.
Quando un utente ignaro apre uno di questi file, lo script AutoIt aprirà il file previsto, oltre al modulo iniziale, eseguito quest’ultimo creerà una copia di se stesso in %AppData% e un collegamento nella cartella di avvio che punta a questa copia, un semplice meccanismo per ottenere persistenza all’avvio del sistema.
L’infezione viene eseguita creando un’istanza del processo vbc.exe decomprimendo le sue sezioni di memoria e quindi caricando l’eseguibile in memoria.
I payload scaricati sono in genere ulteriori script compilati in AutoIt che ha la capacità di raggruppare il tutto in un file autonomo. I binari possono quindi essere eseguiti dallo script utilizzando la funzione AutoIt ShellExecute. Una volta eseguito, questo file crea prima un’attività pianificata e un altro collegamento nella cartella di avvio per garantire la persistenza.