Как установить скрытый майнер на компьютер
Обновлено: 21.11.2024
Киберпреступники всегда ищут новые способы заработка. С появлением цифровых валют, также известных как криптовалюты, преступники видят уникальную возможность проникнуть в организацию и тайно добывать монеты, реконфигурируя вредоносное ПО.
Как работают майнеры
Многие инфекции начинаются с:
Сообщения электронной почты с вложениями, которые пытаются установить вредоносное ПО.
Веб-сайты, на которых размещены наборы эксплойтов, которые пытаются использовать уязвимости в веб-браузерах и другом программном обеспечении для установки майнеров монет.
Веб-сайты, использующие вычислительную мощность компьютера для запуска сценариев, пока пользователи просматривают веб-сайт.
Майнинг — это процесс выполнения сложных математических вычислений, необходимых для ведения реестра блокчейна. Этот процесс генерирует монеты, но требует значительных вычислительных ресурсов.
Майнеры монет не являются злонамеренными по своей природе. Некоторые лица и организации инвестируют в оборудование и электроэнергию для законных операций по добыче монет. Однако другие ищут альтернативные источники вычислительной мощности и пытаются проникнуть в корпоративные сети. Эти майнеры не нужны в корпоративной среде, потому что они потребляют драгоценные вычислительные ресурсы.
Киберпреступники видят возможность зарабатывать деньги, проводя вредоносные кампании, которые распространяют, устанавливают и запускают троянские майнеры за счет вычислительных ресурсов других людей.
Примеры
Эксплойты DDE, которые, как известно, распространяли программы-вымогатели, теперь доставляют майнеры.
Например, образец вредоносного ПО, обнаруженного как Trojan:Win32/Coinminer (SHA-256: 7213cbbb1a634d780f9bb861418eb262f58954e6e5dca09ca50c1e1324451293), устанавливается с помощью Exploit:O97M/DDEDownloader.PA, документа Word, содержащего эксплойт DDE.
Эксплойт запускает командлет, выполняющий вредоносный скрипт PowerShell (Trojan:PowerShell/Maponeir.A). Он загружает троянский майнер, модифицированную версию майнера XMRig, который затем добывает криптовалюту Monero.
Как защититься от майнеров
Включить обнаружение потенциально нежелательных приложений (PUA). Некоторые инструменты для майнинга монет не считаются вредоносными программами, но обнаруживаются как PUA. Многие приложения, обнаруженные как PUA, могут негативно повлиять на производительность машины и производительность сотрудников. В корпоративных средах вы можете остановить рекламное ПО, торрент-загрузчики и майнинг монет, включив обнаружение нежелательных приложений.
Поскольку майнеры монет становятся популярной полезной нагрузкой для различных видов атак, ознакомьтесь с общими советами о том, как предотвратить заражение вредоносным ПО.
Часто некоторые люди строят свой доход на не совсем честных схемах. С развитием технического прогресса совершенствуется проведение таких мероприятий, появляются новые. С появлением компьютеров, глобальным распространением компьютерных сетей и появлением целого виртуального мира со своими валютами стало возможным воровать виртуальные вычислительные ресурсы у незащищенных пользователей.
В предыдущей статье наш главный криптоэнтузиаст Алекс рассказал нам о скрытом майнинге и его опасностях. В этой статье вы узнаете, как правильно проверить свой компьютер на наличие таких вирусов-мейнеров и вовремя удалить их без последствий для вашего оборудования.
Как проверить компьютер на наличие скрытого майнинга
Чтобы проверить свой компьютер на наличие скрытого майнинга, вы можете запустить Диспетчер задач Windows (нажав Ctrl+Alt+Del и активировав Диспетчер задач) или другую программу, позволяющую контролировать ЦП, ГП, память, дисковое пространство, сетевую активность. и какие процессы запущены в системе.
Следует обратить внимание на процессы, потребляющие слишком много ресурсов. Более детальное изучение этих процессов, в какой папке они находятся, как запускаются, к каким сетевым адресам подключаются, позволяет определить их надежность. Для этого удобно использовать утилиту Process Monitor.
Кроме того, следует проверить список программ в автозагрузчике компьютера и внимательно проверить, какие программы автоматически загружаются на компьютер при его включении. Лучше всего это сделать с помощью программы Autoruns.
Вы должны проверить брандмауэр вашего компьютера, чтобы узнать, разрешена ли определенным программам сетевая активность. Если какая-то программа имеет неясное название и имеет полный доступ в сеть, следует изучить ее более детально, поискав информацию о ней в сети и, при необходимости, удалить ее или запретить выход в Интернет.
Если вы используете обычный брандмауэр Windows, вы можете посмотреть и настроить разрешения программ на доступ к сети через его меню дополнительных параметров. Это также позволит вам узнать, кто занимается майнингом с вашего компьютера. Знание того, как обнаружить скрытые программы майнинга, позволит вам удалить их и безопасно использовать свое оборудование.
Как обнаружить вирус майнинга
Первое, что должна обнаружить нелегальная программа, — это антивирус.Но когда хакер использует продвинутые программы, которые автоматически выполняют обучение и добавляют майнер в список доверенных программ, это может не сработать.
Проверка компьютера на наличие майнингового вируса может быть более надежной, если вы загрузите операционную систему с другого, чистого носителя и запустите хороший антивирус с обновленными базами данных в заведомо чистой среде. Эту процедуру желательно выполнять периодически, даже если вы уверены, что на вашем компьютере нет программ для майнинга, для поиска троянов и шпионских модулей.
Наличие скрытых программ, использующих компьютер для майнинга, можно определить по ряду характерных признаков. Они не обязательно свидетельствуют о наличии скрытого майнера, но по сочетанию признаков помогут вам лучше понять, все ли в порядке с вашим компьютером:
- Увеличенная нагрузка на компьютер при майнинге вызывает сильное замедление его работы, увеличение времени открытия страниц в Интернете, медлительность игр и задержки при просмотре видеофайлов.
- Компьютерное оборудование начинает потреблять значительно больше электроэнергии, нагревается, а его система охлаждения постоянно работает на пределе возможностей.
- Отсутствует большой объем дискового пространства, от нескольких гигабайт и выше, а индикатор доступа к жесткому диску показывает постоянную активность.
- Компьютер постоянно обменивается данными с Интернетом, даже если им никто не пользуется. Собственный отток трафика компьютера является косвенным доказательством, указывающим на скрытый майнинг.
- Во время загрузки компьютера кратковременно появляются окна непонятных программ, которые очень быстро исчезают.
- Эти признаки могут указывать на необходимость переустановки операционной системы или износ оборудования и часто являются признаками наличия вирусов, в том числе программ скрытого майнинга. Чтобы предотвратить проникновение криптоджекеров на ваш компьютер, вам необходимо знать, как защитить себя от скрытого майнинга.
Как защитить свой компьютер от скрытого майнинга
Если вы подозреваете, что на вашем компьютере установлены программы для майнинга, вам следует выполнить ряд простых операций. Для защиты от вирусов, в том числе программ скрытого майнинга, необходимо сделать следующее:
- Обязательно установите на свой компьютер хороший антивирус, регулярно обновляйте его антивирусную базу и сканируйте на наличие возможных угроз.
- Имейте образ чистой, проверенной операционной системы с установленными самыми необходимыми программами и восстанавливайте ее при появлении первых признаков заражения, а еще лучше регулярно раз в 2-3 месяца в качестве профилактики.
- Включить в файл hosts блокировку вредоносных сайтов по спискам, доступным на открытом ресурсе GitHub, по алгоритму, описанному в защите от браузерного майнинга.
- Разрешить запуск только проверенных программ. Для этого модифицируйте локальную политику безопасности, запустив программу Secpol MSC, где вы создаете политику ограниченных программ, в свойствах которой активируете правила относительно ограниченного использования всех файлов (кроме библиотек), и активируете опцию игнорирования правила сертификата.
- Разрешить доступ к компьютеру только к разрешенным портам. Это делается в настройках брандмауэра и антивируса.
- Запретите удаленный доступ в Интернет к домашнему маршрутизатору и измените установленный на нем пароль по умолчанию (в соответствии с его руководством пользователя).
- Если эти действия не избавят от вируса, то ограничьте ему доступ в Интернет, чтобы он не потреблял ресурсы вашего компьютера.
Программы для удаления майнинг-вирусов
Для удаления вирусов майнинга можно использовать хорошую антивирусную программу, перед использованием которой необходимо обновить базы данных. Norton Antivirus, антивирус Касперского и другие показывают хорошие результаты при защите от майнинга хакерами. Для любого пользователя, заботящегося о безопасности, использование антивируса против скрытого майнинга должно быть нормой.
Защита вашего компьютера от скрытых майнеров требует от пользователя определенных знаний и постоянного мониторинга новых инструментов, которые хакеры используют для этого. Главное, использовать превентивные меры, которые заключаются в соблюдении мер безопасности при работе в Интернете и использовании пиратского программного обеспечения.
Защита браузера от майнинга
Значимыми признаками браузерного майнинга является замедление работы компьютера на некоторых сайтах, высокая загрузка процессора при просмотре определенных сайтов, особенно при просмотре сайтов с фильмами, пиратскими программами, полулегальными фотографиями. Для защиты от майнинга в браузере используются следующие методы:
- Блокировка вредоносных сайтов, используемых для скрытого майнинга в служебном файле hosts.
- Использование программного обеспечения для защиты от майнинга, которое также удаляет майнинговые вирусы. С этой целью можно использовать различные утилиты, например, хорошие результаты дает программа для удаления скрытого майнинга Anti-WebMiner.
- Использование фильтров в uBlock, AdBlock и подобных приложениях.
Защита Google
В целях борьбы со скрытым майнингом с июля 2018 года магазин Google Play запретил размещение на своем сайте программ, выполняющих майнинг. Браузер Google Chrome позволяет защитить себя от майнинга в браузере с помощью надстроек.
Активировав «Защитите свое устройство от опасных сайтов» и в меню дополнительных настроек «Найти и удалить вредоносное ПО». Для обнаружения майнинга при открытом браузере Chrome также следует нажать Shift+ESC и проанализировать, какие процессы потребляют больше всего ресурсов.
Что дальше
Многие мошенники используют чужие вычислительные мощности для майнинга криптовалют. Главное обнаружить скрытый майнинг на вашем компьютере и удалить его. Команда Artex Global надеется, что эта статья помогла вам решить вашу проблему. Следите за нашими статьями и исследуйте мир криптовалют и майнинга вместе с нами. Если вы пропустили наши предыдущие статьи, советуем изучить их, чтобы не пропустить важную информацию, например, обзор криптовалютной биржи Poloniex или обзор криптовалютной биржи Indacoin.
Я изучаю криптовалюту более 5 лет. У меня есть аккаунты в каждой бирже и я все тестирую на себе.
Я хочу, чтобы этот рынок был более понятным для всех.
Мошенники наживаются на добыче криптовалют на вашем компьютере, за ваш счет и без вашего ведома.
12 сентября 2017 г.
Майнинг криптовалюты – модное словечко в ИТ-индустрии и быстро развивающееся явление. В рамках этой далеко идущей тенденции все больше и больше людей занимаются «майнингом» или добавлением блоков в блокчейн и получают за это вознаграждение в виде криптовалюты. При этом эти майнеры придумывают все более изощренные способы, не все из которых легальны, чтобы заработать вожделенные монеты. И некоторые из наиболее предприимчивых «майнеров» не стесняются делать это за ваш счет.
Зачем майнерам нужен ваш компьютер
Мы уже писали о ботнетах и о том, как хакеры могут превратить ваш компьютер в зомби и сделать его частью ботнета. Сеть таких зомби-компьютеров может использоваться для различных целей, включая майнинг криптовалюты, но не ограничиваясь этим.
Проще говоря, ваш компьютер становится частью распределенной сети, вычислительная мощность которой используется для добычи криптовалюты, которая оказывается в кармане владельца ботнета. Несколько тысяч компьютеров в ботнете могут добывать криптовалюты гораздо эффективнее, чем один компьютер. В случае ботнета для майнинга жертвы также оплачивают счета за электроэнергию, что делает установку приложений майнера на компьютеры ничего не подозревающих пользователей очень прибыльным бизнесом для хакеров.
Обратите внимание, что рядовой пользователь может намеренно установить приложение для майнинга, чтобы самостоятельно добывать криптовалюту. Отличить легальную добычу полезных ископаемых от незаконной является сложной задачей. Приложения майнера идентичны; отличие в скрытой установке и эксплуатации нелегально действующих приложений.
Как скрытый майнер попадает на ваш компьютер
В большинстве случаев майнер попадает на компьютер с помощью специально созданного вредоносного приложения, так называемого дроппера, основной функцией которого является тайная установка другого приложения. Дропперы обычно выдаются под видом пиратских версий лицензионных продуктов или генераторов ключей активации для них. Пользователи ищут этот тип программного обеспечения в одноранговых сетях и намеренно загружают его.
При запуске загруженного файла на компьютер жертвы запускается установщик, который, в свою очередь, загружает майнер и специальный инструмент, скрывающий его в системе. Приложение также может поставляться в комплекте со службами, обеспечивающими его автозапуск и настройку его параметров.
Например, такие сервисы могут приостанавливать работу майнера, когда пользователь запускает определенные популярные компьютерные игры. (Майнер использует вычислительную мощность видеокарты, поэтому игра может начать лагать и вызывать подозрения у пользователя.)
Такие сервисы также могут пытаться отключить антивирусные продукты, приостановить майнер, когда запущен инструмент мониторинга системы, и восстановить майнер, если пользователь попытается его удалить.
Масштаб проблемы
Хакеры распространяют такие приложения как услугу. Они используют каналы Telegram, посвященные возможностям онлайн-работы; вы можете встретить объявления, предлагающие пробные версии таких дропперов для распространения скрытого майнера.
Чтобы дать вам представление о масштабах этого явления: наши эксперты недавно обнаружили ботнет, состоящий примерно из нескольких тысяч компьютеров, на которых был тайно установлен майнер Minergate. Он добывает не самые популярные биткойны, а в основном такие криптовалюты, как Monero (XMR) и Zcash (ZEC), которые позволяют скрыть транзакции и владение кошельком. По самым скромным оценкам, один ботнет для майнинга может приносить более 30 000 долларов в месяц.Более 200 000 долл. США прошли через кошелек, использованный обнаруженным нашими экспертами ботнетом.
Кошелек Monero, используемый преступниками, упомянутыми выше. Текущий обменный курс Monero составляет около 120 долларов США
Как защитить себя от этой угрозы
Kaspersky Internet Security по умолчанию защищает вас от вредоносных дропперов. Просто убедитесь, что ваше антивирусное приложение постоянно включено, и у этого вредоносного ПО не будет шанса проникнуть на ваш компьютер. Если вы по какой-то причине отключите антивирус и запустите ручную проверку после возникновения подозрений, Kaspersky Internet Security сразу же обнаружит этого полноценного троянца и предложит избавиться от него.
В отличие от дропперов, майнеры не являются вредоносными приложениями, как мы упоминали ранее. Вот почему они попадают в нашу категорию ПО с риском — программное обеспечение, которое является законным, но может использоваться в злонамеренных целях (более подробную информацию о том, что входит в эту категорию, можно найти здесь). Kaspersky Internet Security по умолчанию не блокирует и не удаляет такие программы; пользователь мог установить их намеренно.
Если вы предпочитаете проявлять осторожность и уверены, что не будете использовать майнеры и другие опасные программы, вы всегда можете открыть настройки Kaspersky Internet Security, найти раздел Угрозы и исключения. и установите флажок Обнаруживать другое программное обеспечение. И последнее, но не менее важное: регулярно сканируйте свою систему: ваше решение для обеспечения безопасности поможет вам избежать установки и запуска любых нежелательных приложений.
Кенто / Таймингуен / BlackDovFX / Getty Images
Определение криптоджекинга
Криптоджекинг – это несанкционированное использование чужого компьютера для добычи криптовалюты. Хакеры делают это либо заставляя жертву щелкнуть вредоносную ссылку в электронном письме, которое загружает код криптомайнинга на компьютер, либо заражая веб-сайт или интернет-рекламу кодом JavaScript, который автоматически запускается после загрузки в браузере жертвы.
[ Сколько на самом деле стоит кибератака? Взгляните на цифры. | Получайте последние новости от CSO, подписавшись на наши информационные бюллетени. ]
В любом случае код криптомайнинга затем работает в фоновом режиме, поскольку ничего не подозревающие жертвы используют свои компьютеры в обычном режиме. Единственным признаком, который они могут заметить, является более низкая производительность или отставание в выполнении.
Как работает криптоджекинг
У хакеров есть два основных способа заставить компьютер жертвы тайно добывать криптовалюты. Один из них заключается в том, чтобы обманом заставить жертв загрузить код криптомайнинга на свои компьютеры. Это делается с помощью тактики, похожей на фишинг: жертвы получают электронное письмо, выглядящее как законное, которое побуждает их щелкнуть ссылку. Ссылка запускает код, который размещает скрипт криптомайнинга на компьютере. Затем скрипт запускается в фоновом режиме, пока жертва работает.
Другой метод заключается в внедрении скрипта на веб-сайт или в объявление, которое доставляется на несколько веб-сайтов. Как только жертвы посещают веб-сайт или зараженная реклама появляется в их браузерах, скрипт автоматически запускается. На компьютерах жертв код не хранится. Какой бы метод ни использовался, код выполняет сложные математические задачи на компьютерах жертв и отправляет результаты на сервер, которым управляет хакер.
Хакеры часто используют оба метода, чтобы получить максимальную отдачу. «В атаках используются старые приемы вредоносного ПО для доставки более надежного и устойчивого программного обеспечения [на компьютеры жертв] в качестве запасного варианта», — говорит Алекс Вайстих, технический директор и соучредитель SecBI. Например, из 100 устройств, добывающих криптовалюту для хакера, 10 % могут получать доход от кода на компьютерах жертв, а 90 % — через веб-браузеры.
Некоторые скрипты криптомайнинга имеют возможности червей, которые позволяют им заражать другие устройства и серверы в сети. Это также затрудняет их поиск и удаление; поддержание постоянства в сети отвечает финансовым интересам криптоджекера.
Чтобы расширить возможности распространения по сети, код криптомайнинга может включать несколько версий для учета различных архитектур в сети. В одном из примеров, описанном в блоге AT&T Alien Labs, код криптомайнинга просто загружает импланты для каждой архитектуры, пока одна из них не заработает.
Сценарии также могут проверять, не заражено ли устройство конкурирующими вредоносными программами для криптомайнинга. При обнаружении другого криптомайнера скрипт отключает его.Криптомайнер также может иметь механизм предотвращения уничтожения, который срабатывает каждые несколько минут, как отмечается в публикации AT&T Alien Lab.
В отличие от большинства других типов вредоносного ПО, сценарии криптоджекинга не наносят вреда компьютерам или данным жертв. Они крадут ресурсы процессора. Для отдельных пользователей более низкая производительность компьютера может просто раздражать. Организация со многими системами, использующими криптоджекты, может понести реальные расходы, связанные со службой поддержки и временем, затрачиваемым ИТ-специалистами на отслеживание проблем с производительностью и замену компонентов или систем в надежде решить проблему.
Почему криптоджекинг популярен
Никто точно не знает, сколько криптовалюты добывается с помощью криптоджекинга, но нет никаких сомнений в том, что эта практика широко распространена. Поначалу криптоджекинг на основе браузера рос быстро, но, похоже, снижается, вероятно, из-за волатильности криптовалюты и закрытия в марте 2019 года Coinhive, самого популярного майнера JavaScript, который также использовался для законной деятельности по добыче криптовалюты. Киберугроза SonicWall 2020 Отчет показывает, что объем атак криптоджекинга упал на 78 % во второй половине 2019 года в результате закрытия Coinhive.
Однако снижение началось раньше. В отчете Positive Technology Cybersecurity Threatscape Q1 2019 показано, что сейчас на криптомайнинг приходится лишь 7 % всех атак по сравнению с 23 % в начале 2018 года. В отчете говорится, что киберпреступники больше переключились на программы-вымогатели, которые считаются более прибыльными.
«Криптомайнинг находится в зачаточном состоянии. Есть много возможностей для роста и развития», — говорит Марк Лалиберте, аналитик угроз компании WatchGuard Technologies, поставщика решений для сетевой безопасности.
В январе 2018 года исследователи обнаружили ботнет для криптомайнинга Smominru, который заразил более полумиллиона компьютеров, в основном в России, Индии и Тайване. Ботнет был нацелен на серверы Windows для майнинга Monero, и, по оценкам компании Proofpoint, занимающейся кибербезопасностью, на конец января его стоимость составила 3,6 млн долларов США.
Криптоджекинг даже не требует значительных технических навыков. Согласно отчету Digital Shadows «Новые криптовалюты золотой лихорадки — новый рубеж мошенничества», наборы для криптоджекинга доступны в даркнете всего за 30 долларов США.
Простая причина, по которой криптоджекинг становится все более популярным среди хакеров, заключается в том, что больше денег за меньший риск. «Хакеры рассматривают криптоджекинг как более дешевую и прибыльную альтернативу программам-вымогателям, — говорит Вайстих. По его словам, с помощью программ-вымогателей хакер может заставить трех человек платить за каждые 100 зараженных компьютеров. При криптоджекинге все 100 зараженных машин работают на хакера для майнинга криптовалюты. «[Хакер] может совершать те же платежи, что и те три платежа с помощью программ-вымогателей, но криптомайнинг постоянно приносит деньги», — говорит он.
Риск быть пойманным и идентифицированным также намного меньше, чем в случае с программами-вымогателями. Код криптомайнинга работает скрытно и может долгое время оставаться незамеченным. После обнаружения очень сложно отследить источник, и у жертв нет особого стимула делать это, поскольку ничего не было украдено или зашифровано. Хакеры, как правило, предпочитают анонимные криптовалюты, такие как Monero и Zcash, более популярным биткойнам, потому что их сложнее отследить незаконную деятельность.
Примеры криптоджекинга из реального мира
Криптоджекеры — люди умные, и они разработали ряд схем, чтобы заставить чужие компьютеры добывать криптовалюту. Большинство из них не новы; Методы доставки криптомайнинга часто основаны на методах, используемых для других типов вредоносных программ, таких как программы-вымогатели или рекламное ПО. «Вы начинаете видеть много традиционных вещей, которые злоумышленники делали в прошлом», — говорит Трэвис Фаррал, директор по стратегии безопасности в Anomali. «Вместо того, чтобы поставлять программы-вымогатели или трояны, они переоснащают их для доставки модулей или компонентов криптомайнинга».
Вот несколько реальных примеров:
Криптовалютный ботнет Prometei использует уязвимость Microsoft Exchange
Prometei, появившийся еще в 2016 году, представляет собой модульный и многоэтапный ботнет, предназначенный для майнинга криптовалюты Monero. Он использует различные средства для заражения устройств и распространения по сетям. Однако в начале 2021 года Cybereason обнаружила, что Prometei использует уязвимости Microsoft Exchange, использованные в атаках Hafnium, для развертывания вредоносных программ и сбора учетных данных. Затем ботнет будет использовать зараженные устройства для майнинга Monero.
Подводная охота PowerGhost крадет учетные данные Windows
В отчете The Cyber Threat Alliance (CTA) об угрозе незаконного майнинга криптовалют PowerGhost, впервые проанализированный Fortinet, описывается как незаметное вредоносное ПО, которое может избежать обнаружения несколькими способами. Сначала он использует целевой фишинг, чтобы закрепиться в системе, а затем крадет учетные данные Windows и использует инструментарий управления Windows и эксплойт EternalBlue для распространения.Затем он пытается отключить антивирусное программное обеспечение и конкурирующие криптомайнеры.
Graboid, червь-шифровальщик, распространяемый с помощью контейнеров
В октябре компания Palo Alto Networks опубликовала отчет с описанием ботнета для криптоджекинга с возможностью самораспространения. Graboid, как они его назвали, является первым известным червем для криптомайнинга. Он распространяется, находя развертывания Docker Engine, которые доступны в Интернете без аутентификации. По оценкам Palo Alto Networks, Graboid заразил более 2000 развертываний Docker.
Вредоносные аккаунты Docker Hub добывают Monero
В июне 2020 г. компания Palo Alto Networks обнаружила схему криптоджекинга, в которой использовались образы Docker в сети Docker Hub для доставки программного обеспечения для криптомайнинга в системы жертв. Размещение кода криптомайнинга в образе Docker помогает избежать обнаружения. К зараженным изображениям обращались более двух миллионов раз, и, по оценкам Пало-Альто, криптоджекеры получили нечестным путем 36 000 долларов США.
Вариант MinerGate приостанавливает выполнение, когда компьютер жертвы используется
Согласно отчету CTA, компания Palo Alto Networks проанализировала вариант семейства вредоносных программ MinerGate и обнаружила интересную особенность. Он может обнаруживать движение мыши и приостанавливать добычу полезных ископаемых. Это позволяет избежать предупреждения жертвы, которая в противном случае могла бы заметить снижение производительности.
BadShell использует процессы Windows для выполнения своей грязной работы
Несколько месяцев назад Comodo Cybersecurity обнаружила в системе клиента вредоносное ПО, которое использовало законные процессы Windows для майнинга криптовалюты. Дублированный BadShell, который он использовал:
- PowerShell для выполнения команд — сценарий PowerShell внедряет вредоносный код в существующий запущенный процесс.
- Планировщик заданий для обеспечения постоянства
- Реестр для хранения двоичного кода вредоносного ПО
Более подробную информацию о том, как работает BadShell, можно найти в отчете Comodo Global Threat Report Q2 2018 Edition.
Нарушенный сотрудник захватывает системы компании
На конференции EmTech Digital ранее в этом году компания Darktrace рассказала историю своего клиента, европейского банка, который столкнулся с некоторыми необычными моделями трафика на своих серверах. Ночные процессы шли медленно, и диагностические инструменты банка ничего не обнаружили. Darktrace обнаружила, что в это время подключались новые серверы — сервера, которых, по словам банка, не существовало. Физический осмотр центра обработки данных показал, что мошеннический сотрудник установил систему криптомайнинга под половицами.
Обслуживание криптомайнеров через GitHub
В марте компания Avast Software сообщила, что криптоджекеры используют GitHub в качестве хоста для криптомайнинга вредоносных программ. Они находят законные проекты, из которых создают разветвленный проект. Затем вредоносное ПО скрывается в структуре каталогов этого разветвленного проекта. Используя фишинговую схему, криптоджекеры заманивают людей загружать это вредоносное ПО, например, предупреждая об обновлении своего Flash-плеера или обещая сайт с играми для взрослых.
Использование уязвимости rTorrent
Криптохакеры обнаружили уязвимость, связанную с неправильной настройкой rTorrent, из-за которой некоторые клиенты rTorrent становятся доступными без аутентификации для связи XML-RPC. Они сканируют Интернет на наличие незащищенных клиентов, а затем развертывают на них криптомайнер Monero. Компания F5 Networks сообщила об этой уязвимости в феврале и рекомендует пользователям rTorrent убедиться, что их клиенты не принимают внешние подключения.
Facexworm: вредоносное расширение для Chrome
Это вредоносное ПО, впервые обнаруженное «Лабораторией Касперского» в 2017 году, представляет собой расширение Google Chrome, использующее Facebook Messenger для заражения компьютеров пользователей. Первоначально Facexworm доставлял рекламное ПО. Ранее в этом году Trend Micro обнаружила несколько Facexworm, нацеленных на криптовалютные биржи и способных доставлять код для криптомайнинга. Он по-прежнему использует зараженные учетные записи Facebook для доставки вредоносных ссылок, но также может похищать веб-аккаунты и учетные данные, что позволяет внедрять код криптоджекинга на эти веб-страницы.
WinstarNssmMiner: политика выжженной земли
В мае 360 Total Security обнаружила криптомайнер, который быстро распространился и оказался эффективным для криптоджекеров. Эта вредоносная программа, получившая название WinstarNssmMiner, преподносит неприятный сюрприз всем, кто пытался ее удалить: она приводит к сбою компьютера жертвы. WinstarNssmMiner делает это, сначала запуская процесс svchost.exe, внедряя в него код и устанавливая атрибут порожденного процесса на CriticalProcess. Поскольку компьютер воспринимает процесс как критический, после его удаления происходит сбой.
CoinMiner ищет и уничтожает конкурентов
Криптоджекинг стал настолько распространенным явлением, что хакеры разрабатывают свои вредоносные программы, чтобы находить и уничтожать уже запущенные криптомайнеры в зараженных ими системах. Одним из примеров является CoinMiner.
Согласно Comodo, CoinMiner проверяет наличие процесса AMDDriver64 в системах Windows.Внутри вредоносного ПО CoinMiner есть два списка, $malwares и $malwares2, которые содержат имена процессов, которые, как известно, являются частью других криптомайнеров. Затем он убивает эти процессы.
Скомпрометированные роутеры MikroTik распространяют криптомайнеры
Как предотвратить криптоджекинг
Выполните следующие действия, чтобы свести к минимуму риск того, что ваша организация станет жертвой криптоджекинга:
Включите угрозу криптоджекинга в свой курс обучения по безопасности, сосредоточив внимание на попытках фишинга загрузить скрипты на компьютеры пользователей. «Обучение поможет защитить вас, когда технические решения могут дать сбой», — говорит Лалиберте. Он считает, что фишинг останется основным методом доставки вредоносных программ всех типов.
Читайте также: