MSI Afterburner: versione fake con miner e stealer

MSI Afterburner: versione fake con miner e stealer

Ignoti cybercriminali distribuiscono i malware XMR Miner e RedLine mediante versione fake di MSI Afterburner ospitate su siti di phishing.
MSI Afterburner: versione fake con miner e stealer
Ignoti cybercriminali distribuiscono i malware XMR Miner e RedLine mediante versione fake di MSI Afterburner ospitate su siti di phishing.

Gli esperti di Cyble hanno scoperto diverse campagne di phishing che spingono gli utenti a scaricare una versione fasulla del popolare tool MSI Afterburner. I cybercriminali distribuiscono il software attraverso siti simili a quello dell’azienda taiwanese. Insieme al tool vengono installati un miner e un’info-stealer. Tra le poche soluzioni di sicurezza che (al momento) rilevano i malware ci sono quelle di Kaspersky.

MSI Afterburner con miner e stealer

Afterburner è uno dei migliori tool per il monitoraggio dei parametri e per l’overclock della GPU (qualsiasi, non solo quelle di MSI). I cybercriminali tentano quindi di sfruttare la sua popolarità per distribuire malware di ogni tipo (una vecchia versione vulnerabile è stata usata per disattivare l’antivirus e installare il ransomware BlackByte).

Dato che il tool viene soprattutto utilizzato dagli utenti con schede video di fascia alta, i cybercriminali hanno pensato di sfruttare la potenza delle GPU per generare criptovalute e ottenere profitti illeciti. I ricercatori di Cyble hanno identificato oltre 50 siti di phishing negli ultimi tre mesi. L’installer MSIAfterburnerSetup.msi trovato su un sito contiene quattro file, due dei quali nascondono XMR Miner e Redline.

Insieme al tool legittimo di MSI viene installato il file browser_assistant.exe nella directory Program Files. Successivamente viene scaricato da GitHub il miner, iniettato nella memoria del processo explorer.exe. Dopo aver raccolto alcuni dati sul computer, tra cui tipo di CPU e GPU, il miner contatta il mining pool e inizia a generare Monero.

Mentre XMR Miner è attivo, RedLine ruba password, cookie, indirizzi dei wallet di criptovalute e altre informazioni utili. Gli utenti devono quindi utilizzare una soluzione di sicurezza e, soprattutto, scaricare MSI Afterburner solo dal sito ufficiale.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Fonte: Cyble
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 24 nov 2022
Link copiato negli appunti