Gli esperti di Cyble hanno scoperto diverse campagne di phishing che spingono gli utenti a scaricare una versione fasulla del popolare tool MSI Afterburner. I cybercriminali distribuiscono il software attraverso siti simili a quello dell’azienda taiwanese. Insieme al tool vengono installati un miner e un’info-stealer. Tra le poche soluzioni di sicurezza che (al momento) rilevano i malware ci sono quelle di Kaspersky.
MSI Afterburner con miner e stealer
Afterburner è uno dei migliori tool per il monitoraggio dei parametri e per l’overclock della GPU (qualsiasi, non solo quelle di MSI). I cybercriminali tentano quindi di sfruttare la sua popolarità per distribuire malware di ogni tipo (una vecchia versione vulnerabile è stata usata per disattivare l’antivirus e installare il ransomware BlackByte).
Dato che il tool viene soprattutto utilizzato dagli utenti con schede video di fascia alta, i cybercriminali hanno pensato di sfruttare la potenza delle GPU per generare criptovalute e ottenere profitti illeciti. I ricercatori di Cyble hanno identificato oltre 50 siti di phishing negli ultimi tre mesi. L’installer MSIAfterburnerSetup.msi
trovato su un sito contiene quattro file, due dei quali nascondono XMR Miner e Redline.
Insieme al tool legittimo di MSI viene installato il file browser_assistant.exe
nella directory Program Files
. Successivamente viene scaricato da GitHub il miner, iniettato nella memoria del processo explorer.exe
. Dopo aver raccolto alcuni dati sul computer, tra cui tipo di CPU e GPU, il miner contatta il mining pool e inizia a generare Monero.
Mentre XMR Miner è attivo, RedLine ruba password, cookie, indirizzi dei wallet di criptovalute e altre informazioni utili. Gli utenti devono quindi utilizzare una soluzione di sicurezza e, soprattutto, scaricare MSI Afterburner solo dal sito ufficiale.