OneDrive sarebbe vittima di un nuovo exploit da parte degli hacker che avrebbero sfruttato lo spazio di archiviazione degli utenti per minare criptovalute.

Criptominer tramite OneDrive

Stando a quanto riportano nuove indagini dei ricercatori di sicurezza, lo spazio di archiviazione di OneDrive sarebbe stato sfruttato per effettuare attività di criptojacking. Nello specifico, dei malintenzionati sarebbero riusciti a intrufolarsi negli account di cloud-storage sfruttando una vulnerabilità e caricando un file in grado di installare software per minare criptovalute sui PC degli ignari utenti.

Una campagna di cryptojacking in cui gli aggressori sfruttano le note vulnerabilità di DLL Side-Loading di Microsoft OneDrive. Gli aggressori scrivono un falso secure32.dll in %LocalAppData%\Microsoft\OneDrive\ come utente non elevato, che verrà caricato da un utente che verrà caricata da uno dei processi di OneDrive (OneDrive.exe).
Gli attori delle minacce utilizzano uno dei file dll di OneDrive per ottenere facilmente la persistenza. ottenere facilmente la persistenza, perché %LocalAppData%\\MicrosoftOneDriveOneDriveStandaloneUpdater.exe è programmato per l’esecuzione programmato per essere eseguito ogni giorno, per impostazione predefinita. Per rendere la persistenza ancora più robusta, il dropper del falso secure32.dll impostano anche %LocalAppData%\\MicrosoftOneDriveOneDrive.exe in modo che venga eseguito a ogni riavvio utilizzando il registro di Windows.

Una volta caricato in uno dei processi di OneDrive, il file falso secur32.dll scarica il software di estrazione di criptovalute e lo inietta nei processi legittimi di Windows. 

Secondo gli esperti di sicurezza in appena due mesi di indagine tra lo scorso maggio e luglio sarebbero circa 700 utenti in tutto il mondo vittime di questa tecnica di criptojacking.

Che ne pensate di questa vicenda? Vi fidate dei sistemi di protezione di Microsoft? Fatecelo sapere nei commenti.

Articolo di Windows Blog Italia