Cryptomining e RAT - il nuovo attacco
Vediamo questa "nuova" tipologia di attacco, che fa leva su due concetti:
- RAT (Remote Access Trojan)
- Cryptomining: sfruttando risorse altrui, del dispositivo controllato dall'attaccante, queste risorse servono per operazioni come il mining di criptovalute (che consuma energia e potenza computazionale, quindi per l'attaccante significa "usare gratis" risorse di altri)
In particolare il segmento di vittime prescelto è quello delle GPU dei Graphic Designer. Ovviamente la GPU è molto più efficiente rispetto alla CPU per le operazioni di mining (ad esempio, giusto per comprendere, Nvidia GeForce RTX 4090 possiede qualcosa come 16384 Core NVIDIA CUDA!). Quindi prendendo un bersaglio di questo tipo, il risultato è sicuramente più efficiente rispetto, per esempio, al PC di un impiegato della PA, che avrà prestazioni medio-basse e scheda video integrata.
Compreso quindi il motivo, vediamo come avviene questo attacco:
- versione NON originale di un software (quindi attenzione a cosa scarichiamo e dove!), tale versione quindi contiene chiaramente un malware
- nella prima fase, avviene l'installazione del RAT, per ottenere il controllo
- nella seconda fase, quindi a controllo avvenuto, viene installato il cryptominer, di fatto nascosto nell'Installer
A novembre 2022 uno studio (approfondimento: trendmicro.com) ha identificato un malware chiamato CHAOS RAT (Trojan.Linux.CHAOSRAT), basato su un progetto open-source e che lavora in ambiente Linux. Come detto, vengono sfruttate le risorse e potenza di calcolo (GPU) della vittima con scopi di cryptomining, in particolare Monero (XMR), molto simile ai malware Shikitega e Nitrokod, di cui avevamo parlato.