Attenzione: il tuo Microsoft OneDrive potrebbe essere dirottato da un minatore di criptovalute

La recente fusione di Ethereum ha portato generalmente cattive notizie per la maggior parte dei minatori. Così tanti erano impegnati a sbarazzarsi delle loro costose GPU proprio prima che accadesse. Alcuni degli altri, tuttavia, hanno escogitato altri modi per aggirare le spese per l’acquisto di costose attrezzature minerarie. E quelli nefasti tendono a usare il cryptojacking, in cui usano di nascosto il computer della vittima o qualsiasi altro dispositivo per estrarre criptovalute.

Nell’ultimo sviluppo di questo tipo, il produttore di antivirus Bitdefender ha scoperto che OneDrive di Microsoft veniva utilizzato da un gruppo di aggressori per scopi di cryptojacking. La campagna ha utilizzato un exploit per intercettare una libreria di collegamento dinamico (DLL) o utilizzare una vulnerabilità di sideload in OneDrive per eseguire operazioni. Bitdefender ha monitorato la campagna tra maggio e luglio 2022 e durante questo periodo sono stati scoperti oltre 700 casi di cryptojacking che utilizzavano exploit simili.

Secondo il rapporto, gli aggressori si affidano al file secure32.dll scritto in modo dannoso per infettare i sistemi delle potenziali vittime. È ospitato all’interno di %LocalAppData%\Microsoft\OneDrive\ per essere caricato insieme ai processi nativi di OneDrive. A fini di conservazione, gli aggressori hanno configurato il processo OneDrive.exe per l’esecuzione a ogni riavvio. Una volta infettato, viene utilizzato un falso file DLL secure32 per scaricare il software di mining sul sistema della vittima.

Bitdefender spiega:

Gli aggressori scrivono un falso secure32.dll in %LocalAppData%\Microsoft\OneDrive\ come utenti non elevati da caricare da uno dei processi di OneDrive (OneDrive.exe o OneDriveStandaloneUpdater.exe).

Gli aggressori utilizzano una delle DLL di OneDrive per proteggere facilmente il salvataggio perché %LocalAppData%\ Microsoft\OneDrive\OneDriveStandaloneUpdater.exe è programmato per l’esecuzione ogni giorno per impostazione predefinita.

Per rendere la persistenza ancora più robusta, i falsi contagocce secure32.dll impostano anche %LocalAppData%\ Microsoft\OneDrive\OneDrive.exe per l’esecuzione ad ogni riavvio utilizzando il registro di Windows.

Una volta caricato in uno dei processi di OneDrive, il falso secur32.dll scarica il software di mining di criptovaluta open source e lo inietta nei processi Windows legittimi.

Puoi trovare maggiori dettagli sulla campagna nel rapporto originale qui .