I cryptojacker sono malware che sfruttano le risorse hardware del computer per generare criptovalute. Microsoft ha rilevato un aumento delle versioni “fileless” che utilizzano applicazioni e tool preinstallati su Windows per evitare la rilevazione. Defender Antivirus riesce a bloccarli anche grazie alla Threat Detection Technology (TDT) sviluppata da Intel.
Cryptojacker in continua evoluzione
I cryptojacker vengono divisi in tre categorie principali in base alla tecnica usata per minare le criptovalute. Quella più diffusa prevede l’installazione di un’eseguibile sul dispositivo. Esistono poi gli script JavaScript nascosti nei siti web (anche legittimi). Basta visitare il sito con il browser per avviare il mining. La categoria emergente è quella dei cryptojacker fileless che rimangono in memoria e sfruttano i binari (applicazioni e tool) di Windows.
Questi ultimi sono i più difficili da rilevare e bloccare perché non copiano file sul computer. Microsoft Defender Antivirus riesce a rilevarli utilizzando la Threat Detection Technology (TDT) di Intel. TDT sfrutta una combinazione di telemetria a basso livello e machine learning per individuare l’impronta del malware lasciata nella Performance Monitoring Unit (PMU) del processore.
Uno dei cryptojacker fileless più diffusi è Mehcrypt. Il malware viene distribuito tramite un archivio ZIP e sfrutta prima il compilatore Visual Basic (vbc.exe
) e successivamente l’applicazione Notepad. Il codice infetto viene caricato in notepad.exe
mediante la tecnica process hollowing.
Intel TDT è disponibile nei processori Core a partire dalla sesta generazione. Gli utenti che usano altre CPU possono ugualmente bloccare i crytojacker con una soluzione di sicurezza efficace, come Avira Prime.