BOINCMalware

Proteggere i dispositivi dalle minacce malware è fondamentale per mantenere sia la sicurezza che la funzionalità. Recentemente, i criminali informatici hanno sfruttato BOINC (Berkeley Open Infrastructure for Network Computing), un'utilità legittima per progetti informatici distribuiti, per eseguire attività minacciose sui sistemi infetti. Tieni presente che questa non è una vulnerabilità di BOINC stesso; invece, il malware installa illegalmente BOINC per svolgere le sue operazioni.

Installazione ed esecuzione

Il malware carica BOINC sui dispositivi degli utenti senza consenso utilizzando un payload di terze parti. Questo metodo ignora i tipici processi di installazione, garantendo che BOINC venga installato di nascosto. I binari utilizzati sono presi direttamente dal programma di installazione ufficiale BOINC 8.0.2, sebbene il programma di installazione stesso non sia direttamente impiegato nel processo di installazione.

Operazioni minacciose

Al momento dell'installazione, il malware avvia diverse attività non sicure:

• Creazione di un utente Windows nascosto : esistono segnalazioni non confermate di creazione di un utente Windows nascosto, che potrebbe potenzialmente facilitare ulteriori accessi non autorizzati.
• Installazione del servizio : il software dannoso viene installato come servizio sui sistemi infetti, sebbene dettagli specifici come il nome del servizio non siano attualmente divulgati.
• Distribuzione dei file : più copie di BOINC vengono scaricate nella cartella "C:\USERNAME\AppData\Roaming" e nelle sue sottocartelle, diffondendo la sua presenza in tutto il sistema.
• Rinominazione degli eseguibili : gli eseguibili del client BOINC vengono rinominati con nomi di processi di sistema comuni come ".exe", "gupdate.exe", "SecurityHealthService.exe" e "trustedinstaller.exe". Questo travestimento mira a eludere il rilevamento e a confondersi con processi legittimi.
• Creazione di un server falso : è stato segnalato un server BOINC falso che assomiglia al server legittimo Rosetta@home. Sebbene il suo nome rimanga segreto per motivi di sicurezza, questo server imita un progetto legittimo per ingannare potenzialmente gli utenti ed eseguire azioni non autorizzate.

Distribuzione e impatto

Il metodo di distribuzione di questo malware rimane poco chiaro e le vittime ipotizzano che possa essere collegato a connessioni a reti Wi-Fi pubbliche. La campagna sembra rivolgersi specificamente agli utenti degli Stati Uniti, colpendo circa 7.000 dispositivi Windows, come riportato dal falso server del progetto.

Consigli per la mitigazione e la rimozione

I ricercatori suggeriscono i seguenti passaggi per mitigare l’impatto di questo malware:

• Pulizia dell'Utilità di pianificazione : controlla e rimuovi tutte le voci nell'Utilità di pianificazione che eseguono codice dalla cartella "Roaming". Queste voci possono apparire mascherate da processi legittimi come gli aggiornamenti di Mozilla o Google o possono semplicemente consistere in un carattere di sottolineatura seguito da numeri.
• Eliminazione file : elimina tutti i file indesiderati archiviati nella cartella "Roaming" e nelle sue sottocartelle. Gli utenti potrebbero dover terminare i processi utilizzando il "Task Manager" per garantire che tutti i file non sicuri possano essere eliminati in modo sicuro.

Prendendo queste precauzioni e rimanendo vigili contro attività e installazioni sospette, gli utenti possono proteggere i propri dispositivi dagli impatti di software minaccioso come il malware BOINC.