MSI Afterburner per rubare dati e minare crypto? Attenzione a dove lo scaricate

MSI Afterburner è un software molto popolare tra gli “smanettoni” perché permette di overcloccare le schede video e monitorarne i parametri di funzionamento, anche se si tratta di soluzioni non realizzate dalla società taiwanese.

La sua diffusione è entrata nel mirino dei malintenzionati, che hanno deciso di creare una serie di portali da cui scaricare il software, accompagnato però da miner di criptovalute e malware per sottrarre informazioni sensibili come le password.

Cyble Intelligence and Research Lab (CRIL) ha scoperto che negli ultimi tre mesi sono nati oltre 50 siti web che cercano di impersonare il sito ufficiale del programma. La campagna usa nomi di dominio che potrebbero ingannare i meno attenti, inducendoli a pensare di trovarsi sul sito di MSI. Tra questi, ecco una lista parziale:

  • msi-afterburner–download.site
  • msi-afterburner-download.site
  • msi-afterburner-download.tech
  • msi-afterburner-download.online
  • msi-afterburner-download.store
  • msi-afterburner-download.ru
  • msi-afterburner.download
  • mslafterburners.com
  • msi-afterburnerr.com

Il problema è che scaricando il software da tali portali, non viene installato sul PC solo il programma legittimo ma anche il malware RedLine e un miner che si occupa di ottenere Monero (XMR) per conto dei malintenzionati. Il miner viene installato tramite un eseguibile denominato ‘browser_assistant.exe’ nella cartella Program Files e inietta una shell nel processo creato dall’installer.

Il codice in questione recupera il miner XMR da un repository GitHub, inserendolo direttamente in memoria nel processo explorer.exe: in questo modo il miner riduce al minimo la possibilità di essere rilevato dai software di sicurezza. Purtroppo, non è l’unica beffa perché il miner è in grado di assorbire gran parte se non tutta la potenza della CPU, essendo impostato per usare 20 thread.

L’altra “genialata” dei malintenzionati è che il miner è impostato per entrare in azione solo dopo 60 minuti da quando la CPU è entrata in idle, quindi quando il PC non è usato attivamente e, probabilmente, è stato lasciato acceso e incustodito dall’utente. Inoltre, nel suo codice è stata rilevata un’opzione per sospendere l’attività di mining e cancellare la memoria della GPU quando vengono lanciati programmi specifici come antivirus e non solo: l’obiettivo è non farsi chiaramente scovare.

Per rimanere al sicuro da questo nuovo pericolo fate sempre attenzione alle fonti da cui scaricate il programma: passate per il sito ufficiale di MSI o andando direttamente alla pagina di download.