Minas è un malware crittografico multistadio

Minas, un software dannoso progettato per il mining di criptovalute, è una minaccia insidiosa che sfrutta l'applicazione XMRIG, originariamente destinata al mining legittimo di Monero. Questo particolare tipo di malware esercita un'enorme pressione sulle macchine infette, mettendo così a repentaglio la salute generale del sistema e del suo hardware.

Minas impiega varie tecniche sofisticate per eludere il rilevamento e garantire la sua longevità. Il suo obiettivo principale è impegnarsi nel mining di criptovalute, un processo che prevede l'utilizzo della potenza del computer per risolvere complessi problemi matematici al fine di generare valuta digitale.

L'atto di mining richiede hardware robusto, che spinge i criminali informatici a sfruttare spesso i dispositivi di vittime ignare o a sfruttare intere botnet per questo scopo, piuttosto che investire nelle proprie apparecchiature.

La catena dell'infezione di Minas, passo dopo passo

Il riassunto della catena di infezione è il seguente:

• Tramite l'Utilità di pianificazione, viene eseguito uno script di PowerShell, recuperando il file lgntoerr.gif da un server remoto.
• Al momento della decrittazione, lgntoerr.gif si trasforma in una DLL .NET, che viene quindi caricata.
• La DLL .NET estrae e decrittografa tre file: due DLL e un payload crittografato, inserendoli nella directory ProgramData.
• Un'attività viene creata dalla DLL .NET per eseguire automaticamente il componente legittimo ilasm.exe durante l'avvio del sistema utilizzando l'Utilità di pianificazione.
• L'Utilità di pianificazione avvia ilasm.exe dalla directory ProgramData.
• ilasm.exe avvia fusion.dll, un dirottatore DLL dannoso, anch'esso residente nella stessa directory.
• fusion.dll carica la seconda DLL decrittografata.
• La seconda DLL genera un processo dllhost.exe sospeso.
• Il payload all'interno del file binario crittografato viene decrittografato dalla seconda DLL.
• Il payload decrittografato viene inserito nel processo dllhost.exe come DLL.
• L'ID processo (PID) del processo dllhost.exe viene salvato in un file all'interno della directory ProgramData.
• Il controllo viene passato al payload decrittografato all'interno del processo dllhost.exe.
• La DLL del payload estrae ed esegue la DLL miner nella memoria del computer.
• In sostanza, questi passaggi delineano la progressione della catena di infezione, ogni fase contribuendo all'esecuzione del componente minatore dannoso.

Perché i cryptominer sono una minaccia per il sistema nel suo complesso?

Sfruttando risorse di sistema come CPU e GPU, i cryptominer consumano una notevole quantità di potenza computazionale per generare valute digitali. Questo utilizzo non autorizzato ed eccessivo può monopolizzare fino al 100% delle risorse del dispositivo, provocando frequenti blocchi del sistema, arresti anomali e altri gravi problemi che rendono il dispositivo interessato praticamente inutilizzabile.

Inoltre, è probabile che l'eccessiva sollecitazione del sistema provochi il surriscaldamento. Se combinato con altri fattori come scarsa ventilazione, temperatura ambiente elevata e condizioni simili, questo calore eccessivo può infliggere danni irreversibili all'hardware, essenzialmente "friggendo" i componenti.

Per riassumere, la presenza di Minas o software dannoso simile sui dispositivi può avere conseguenze disastrose. Questi includono prestazioni del sistema ridotte, guasti del sistema, perdita permanente di dati, deterioramento dell'hardware e perdite finanziarie sostanziali.