I ricercatori di Cyberbit hanno identificato un crypto-miner installato su oltre il 50% delle stazioni di lavoro di un aeroporto internazionale in Europa.
Il malware è stato scoperto durante il lancio di Endpoint Detection and Response (EDR) di Cyberbit, una
piattaforma avanzata di rilevamento comportamentale e di ricerca delle minacce, nell’aeroporto europeo.
Durante le attività di raccolta e analisi, il motore comportamentale – che genera avvisi e autorizza i processi legittimi – ha segnalato un uso sospetto del tool PAExec, rilevando che è stato utilizzato più volte in un breve periodo per avviare un’applicazione denominata player.exe. L’uso di PAExec è spesso un’indicazione di attività dannosa, nonché l’uso ripetuto dello strumento.
Inoltre, il motore di analisi comportamentale ha rilevato l’uso di Reflective DLL Loading dopo l’;esecuzione di player.exe., una tecnica per iniettare in remoto una DLL in un processo evitando l’accesso al disco rigido. Il caricamento delle Reflective DLL è una tipica tattica di evasione della difesa utilizzata dagli attaccanti per mascherare il caricamento di file dannosi.
La combinazione dei due comportamenti sospetti ha innescato un alert EDR ad alta priorità dando il via alle indagini sulla catena di eventi attraverso il grafico comportamentale EDR. I ricercatori sono giunti al
sospetto che il malware fosse un Bitcoin miner, a causa del comportamento nell’esecuzione di processi
multipli in un breve lasso temporale, tipico di un miner che utilizza risorse di sistema per i calcoli.
Attraverso lo strumento di ricerca delle minacce EDR di Cyberbit per cercare l’MD5 tramite la rete
aeroportuale, gli analisti hanno rilevato che il malware risiedeva su oltre il 50% delle workstation, pur non
essendo in esecuzione. Il malware è stato rimosso dagli endpoint dell’organizzazione e la sua capacità di
esecuzione è stata bloccata. Inoltre, sono state rimosse le chiavi dannose dal registro garantendo il blocco del malware stesso nonché del suo meccanismo di persistenza.
Le scoperte hanno suscitato preoccupazioni per quanto riguarda la facilità di installazione di software
dannoso all’interno delle reti aziendali nonostante i sistemi antivirus.
“Il malware potrebbe essere stato utilizzato per mesi prima dell’installazione di Cyberbit EDR, sebbene tutte le workstation fossero dotate di un antivirus standard del settore”.
https://www.cyberbit.com/blog/endpoint-security/cryptocurrency-miners-exploit-airport-resources/
