Si tratta di un tool talmente popolare che ultimamente è stato sfruttato da alcuni hacker per attaccare gli utenti Windows in possesso di GPU particolarmente adatte al mining.
La segnalazione arriva da Cyble, secondo cui oltre 50 siti web erano stati creati appositamente per ingannare gli utenti, spacciandosi per il sito ufficiale di MSI Afterburner. Le vittime del raggiro si sono trovate a installare involontariamente i miner XMR (Monero), insieme a un malware di tipo info-stealer.
I domini impiegati per la campagna potevano trarre in inganno i meno attenti: alcuni di questi erano msi-afterburner-download[.]tech e msi-afterburner[.]com.
Dalle analisi di Cyble, il file di installazione fasullo di MSI Afterburner in formato .msi agiva in modo molto subdolo. Infatti, utilizzandolo viene installata una copia legittima del programma, tuttavia, viene caricato nel sistema anche l’info-stealer RedLine e un miner XMR.
Il miner è impostato per entrare in funzione dopo 60 minuti dal momento in cui la CPU entra in modalità idle, inoltre l’attività di mining viene sospesa e la memoria della GPU svuotata nel caso in cui vengano avviati determinati programmi, inclusi gli antivirus.
Occorre, dunque, fare molta attenzione al sito da cui recuperare MSI Afterburner, se occorre scaricarlo. Il sito ufficiale è il seguente: www.msi.com/Landing/afterburner/graphics-cards.
