Satori è una famiglia di malware, variante della più nota Mirai, che prende di mira router, ip-cam, dispositivi smart-tv e in generale qualsiasi dispositivo connesso alla rete allo scopo di trasformarli in soldatini di potenti botnet. Nella scorsa settimana i ricercatori di sicurezza della società cinese Netlab 360 hanno individuato una versione modificata di Satori che infetta i computer dedicati al mining di criptovalute.
Il malware prende il controllo del software di mining Claymore Mining (per il mining di Ethereum), con modalità non dettagliate nello specifico: tutto quello che si conosce è la capacità di compiere azioni di configurazione tramite la porta 3333, che non richiede autenticazione se il software viene lasciato con le impostazioni di default. Una volta preso il controllo del software, il malware va a sostituire l’indirizzo del wallet del proprietario del pc cui vengono raccolti i frutti del mining con un indirizzo controllato dall’attaccante (sia personale, sia di un eventuale mining pool). In questo modo l’attaccante può recuperare tutte le monetine digitali generati dal mining senza che il proprietario se ne possa accorgere se non controllando manualmente la configurazione del proprio software.
Un controllo dell’indirizzo del wallet dell’attaccante, recuperato da Netlab 360, mostra le ultime 10 transazioni relative all’indirizzo, nelle quali si scorgono vari spostamenti in ingresso e in uscita con movimentazioni nell’ordine di grandezza di pochi Ether, il cui valore nei giorni scorsi è arrivato a superare i 1400 dollari prima di subire gli effetti dei un grosso storno che ha interessato tutto il mercato delle criptovalute.
Non è chiaro, al momento, quale possa essere la diffusione di questa infezione, in quanto le uniche informazioni di contesto che posssono essere recuperabili sono i dati di capacità di calcolo indicati sull‘indirizzo del mining pool, che comunque variano costantemente. Si può ipotizzare una diffusione da qualche decina a parecchie centinaia di sistemi (a seconda ovviamente delle GPU usate dai sistemi infetti), ma al di là di ciò è comunque opportuno considerare che questo nuovo malware può rappresentare l’inizio di una nuova “moda” nel campo delle minacce informatiche a cui potrebbero ispirarsi campagne anche più massicce.