Операция «Обфускация»: как майнеры прячутся новыми изощренными способами

Опубликовано at 14:33
151 0

Специалисты японской компании кибербезопасности Trend Micro исследовали новые методы обфускации (запутывания кода), которые сейчас применяются авторами вредоносных программ для скрытого майнинга криптовалют. Эксперты пришли к выводу (вы не поверите), что способы эти становятся все более изощренными.

Так, например, исследователи Trend Micro описали, как программа для скрытого майнинга, получившая название Coinminer.Win32.MALXMR.TIAOODAM, устанавливается на компьютер жертвы вместе с инсталлятором операционной системы Windows.

«Использование реального компонента ОС Windows не только делает вредоносное ПО менее подозрительным, но и позволяет ему обойти определенные фильтры безопасности», – Trend Micro

Вредонос устанавливается в папку %AppData%\Roaming\Microsoft\Windows\Template\FileZilla (FileZilla это популярное бесплатное приложение для скачивания и загрузки файлов в интернете). Если директории не существует, вредоносная программа создает ее самостоятельно — а может вы и не вспомните, что никакую ФайлЗиллу не устанавливали, мало ли что.

Далее, в этой директории находится скрипт, способный останавить работу всех запущенных антивирусных программ. Немедленно после установки вредоносное ПО создает три новых процесса Service Host, некоторые из которых используются для повторной загрузки хакерской программы в случае ее блокировки. Напоминает гидру, у которой снова вырастают головы, если их отрубать.

«Первый и второй SvcHost-процессы действуют в качестве программного сторожа, вероятно, для поддержания постоянной работы ПО. Они отвечают за повторную загрузку файла Windows Installer (.msi) через инструмент Powershell в случае прекращения работы инфицированного svchost-процесса», – Trend Micro.

Но и это еще не все. Исследованная японцами программа для скрытого майнинга оснащена механизмом саморазрушения (!), задача которого – еще больше затруднить обнаружение и анализ вредоносного кода. Вредонос-камикадзе достигает этого через удаление всех файлов, содержащихся в директории установки, а также избавление от всех следов установки (в отчете не уточняется, но мы так понимаем, что само тело майнера остается где-то в системе и продолжает майнить, он просто заметает следы).

Процесс инсталляции обнаруженного вредоносного ПО написан на кириллице (ну разумеется), тем не менее, авторы отчета честно заявляют, что «страну источника атаки (т.е. автора вредоноса) установить не удалось».

По оценкам специалистов группы кибербезопасности Cyber Threat Alliance, в этом году использование криптоджекинга (скрытого майнинга) выросло на 459%. В октябре АКБ докладывала, что количество случаев криптоджекинга выросло в 5 раз на i-устройствах. Чаще всего используют скрипт Coinhive, и к настоящему моменту «от криптомайнера пострадали 19% организаций по всему миру».  Роутеры и умные устройства (а то и целые умные дома) также самые очевидные и незащищенные плацдармы, чтобы захватить сеть целиком и переориентировать ее на криптоджекинг.

Подписываемся, следим @CyberAgency

Related Post

Хакеры обламывают зубы о Центробанк: замглавы ИБ регулятора об успехах в кибервойне

Опубликовано - 17.04.2019 0
Результативность киберпреступности при общем увеличении количества атак за последнее время существенно снизилась. Об этом заявил первый заместитель директора департамента информационной…

Добавить комментарий