In seguito all’incremento del prezzo delle monete digitali, molti cybercriminali hanno spostato l’attenzione dai ransomware al cryptojacking, ovvero al mining delle criptovalute tramite le risorse dei computer sui quali viene installato il malware. Microsoft ha quindi deciso di utilizzare la Threat Detection Technology (TDT) di Intel per rilevare questi criptominer con Defender for Endpoint.
Defender con Intel TDT per bloccare i miner
Solitamente i cryptominer vengono rilevati e bloccati dagli antivirus, ma questa tipologia di malware diventa sempre più difficile da individuare. Microsoft afferma che Defender for Endpoint (versione aziendale di Defender Antivirus) rappresenta la soluzione migliore perché la TDT di Intel può scoprire i cryptominer che eludono i tradizionali tool di sicurezza tramite tecniche di offuscamento.
Utilizzando il machine learning, Intel TDT può rilevare il malware analizzando la telemetria ricevuta dalla PMU (Performance Monito Unit) della CPU. I cryptominer effettuano una serie di calcoli matematici molto pesanti e questa attività può essere registrata dalla PMU, che invia un segnale se viene superata una certa soglia. Gli algoritmi di machine learning elaborano questo segnale e riconoscono l’impronta digitale del miner.
https://www.youtube.com/watch?v=Ne13PjRF2Q8
La tecnologia è stata espressamente sviluppata per bloccare i cryptominer, ma potrebbe anche rilevare attacchi side-channel e ransomware con un minima modifica agli algoritmi. Defender for Endpoint con Intel TDT è compatibile con i processori Intel Core e la piattaforma Intel vPro a parte dalla sesta generazione.