Как узнать, занимается ли мой компьютер майнингом
Обновлено: 21.11.2024
Некоторые веб-сайты могут без вашего ведома использовать ваш процессор для майнинга криптовалют, таких как биткойн.
Тейлор Мартин освещает технологии в Интернете более шести лет. Он делал обзоры смартфонов для Pocketnow и Android Authority и любит создавать что-то на своем YouTube-канале MOD. У него опасная одержимость кофе, и он боится свободного времени.
Добыча криптовалют, таких как биткойн, может быть прибыльной. Но есть одна загвоздка: это требует времени и больших вычислительных мощностей. Если бы вы могли каким-то образом распределить эти вычислительные потребности среди сотен, а иногда даже тысяч или миллионов неосведомленных пользователей, это значительно сократило бы стоимость и время добычи дорогих монет.
Как бы гнусно это ни звучало, в сентябре прошлого года компания ESET обнаружила, что несколько веб-сайтов делают именно это.
Раньше преступники пытались захватить чужой компьютер, чтобы добывать монеты с помощью установленной вредоносной программы. Но более легкий и менее заметный (по крайней мере, с точки зрения пользователя) способ сделать это — запустить файл JavaScript прямо из браузера — без эксплойтов или уязвимостей. Вместо того, чтобы заражать компьютеры пользователей, веб-сайты заражаются вредоносной рекламой. Все, что нужно для начала майнинга, — это посещение зараженного веб-сайта пользователем с включенным JavaScript.
Что особенного в добыче полезных ископаемых?
Собственно, добыча криптовалюты не является чем-то плохим. Так обрабатываются транзакции. Вы можете узнать больше об этом в нашем объяснении криптовалюты и блокчейна, но, короче говоря, когда транзакция криптовалюты объявляется в сети блокчейна, компьютеры в этой сети начинают решать сложные математические головоломки, чтобы подтвердить, что валюта еще не использовалась. В обмен на работу майнеры (люди, чьи компьютеры использовались для обработки транзакции) получают вознаграждение в виде небольшого количества криптовалюты.
Ничего страшного, верно?
Для некоторых криптовалют, таких как Monero, майнинг относительно быстрый и простой, и для обработки транзакций не требуется специализированный компьютер. С другой стороны, Биткойн, как известно, медленный и сложный в добыче, и для подъема тяжелой нагрузки требуются огромные вычислительные мощности.
Если кто-то нагрузит этим ваш домашний компьютер, загрузка ЦП резко возрастет, выполнение простых задач станет слишком медленным, а вентиляторы на вашем компьютере заработают на полную мощность. А если бы вы использовали ноутбук, время автономной работы значительно сократилось бы.
К счастью, когда веб-сайт подключается к вашему компьютеру для майнинга криптовалюты, это вряд ли майнинг биткойнов. Вместо этого он, скорее всего, занимается майнингом такой валюты, как Monero или Dash. А чтобы снизить вероятность того, что его обнаружат как пользователь, так и блокировщики рекламы, его влияние на ЦП обычно ограничивается до 50 %.
Ничто из этого не означает, что это должно быть сделано без вашего ведома. Сегодня во многих случаях веб-разработчики и преступники захватывают компьютеры людей с целью получения прибыли. Это не нормально.
Не всякий майнинг, управляемый пользователями, плох
Увеличить изображение
Некоторые веб-сайты предлагают скрытую рекламу, если посетители разрешают им вместо этого использовать свой компьютер для добычи монет.
Однако не все веб-сайты настолько прозрачны, как Salon. Некоторые веб-сайты могут незаметно использовать ваш процессор для майнинга криптовалюты, и вы не узнаете об этом, пока не приложите все усилия, чтобы выяснить это.
Как узнать, когда веб-сайт занимается добычей криптовалюты
Итак, если все это происходит в фоновом режиме, как вы можете знать, когда ваш компьютер используется для майнинга? Самый простой способ — следить за использованием процессора.
- В Windows щелкните правой кнопкой мыши панель задач и выберите Диспетчер задач. Откройте вкладку "Производительность".
- В MacOS откройте Activity Monitor, выполнив поиск с помощью Spotlight (нажав Command + пробел) или выбрав Приложения > Утилиты > Activity Monitor. После открытия щелкните вкладку ЦП. Общая загрузка ЦП в MacOS представляет собой сумму загрузок системы и пользователей.
Несмотря на то, что этот показатель варьируется от компьютера к компьютеру, нормальный процент для повседневного использования (просмотр веб-страниц, создание заметок и т. д.) обычно составляет 20 процентов или меньше. Если вы видите неожиданные всплески использования при открытии простой в остальном веб-страницы, это не является абсолютным фактом, учитывая, что майнинг продолжается.Но это должно дать вам повод для беспокойства и является возможным красным флажком и признаком того, что JavaScript используется для большего, чем вы рассчитывали. Закрытие вкладки должно привести к падению загрузки ЦП.
Если загрузка ЦП не снижается, это также может быть связано с тем, что ваш компьютер был заражен вредоносным программным обеспечением, которое копает информацию на вашем компьютере в фоновом режиме, или вы могли стать жертвой всплывающего окна. Антивредоносное ПО Malwarebytes предупредило об этом еще в ноябре. Вместо запуска в уже открытой вкладке браузера открывается новое окно с JavaScript, но его размер соответствует часам на панели задач Windows и скрывается за ними.
При использовании всплывающего окна закрытие браузера не остановит майнинг, так как скрытая вкладка все равно будет открыта. Вместо этого вам придется использовать диспетчер задач, чтобы полностью закрыть браузер. Если вы заметили значительное снижение загрузки ЦП, вероятно, ваш компьютер был затронут скрытым скриптом майнинга.
Как запретить сайтам использовать ваш процессор для майнинга
Как упоминалось выше, не все виды майнинга плохи, особенно если об этом сообщается на веб-сайте. На самом деле, вы можете захотеть поддерживать веб-сайт майнингом вместо просмотра рекламы — это довольно разумный компромисс.
Но если вы хотите лучше контролировать, какие сайты могут использовать ваш процессор для майнинга монет, обязательно прочитайте наше руководство.
Ваш компьютер может тайно майнить криптовалюту, используя вычислительную мощность вашего компьютера для подтверждения транзакций и создания новых и потенциально прибыльных монет, а вы даже не получите от этого прибыли. По данным IBM Managed Security Services, количество случаев использования вредоносных программ, содержащих инструменты для криптомайнинга, в этом году выросло в шесть раз. Вот как узнать, не использовали ли вы непреднамеренно свои вычислительные мощности, чтобы обогатить кого-то другого.
Проверьте загрузку ЦП
Откройте монитор ресурсов на своем компьютере, чтобы проверить, не слишком ли высока загрузка ЦП. На Mac это Монитор активности, а на Windows — Диспетчер задач.
Если вы видите всплеск загрузки ЦП при посещении определенного веб-сайта, это не должно сильно нагружать ваш процессор; или если у вас все закрыто, но загрузка ЦП по-прежнему очень высока, у вас может быть проблема с вредоносным ПО для майнинга криптовалюты. Трудно сказать, как выглядит «нормальное» использование ЦП, поскольку вычислительная мощность компьютера и приложения, которые запускают люди, сильно различаются, но внезапное повышение уровня использования ЦП указывает на ненормальное увеличение потребности в вычислительной мощности.
Блокировщики рекламы могут помочь…
Ваш компьютер может быть захвачен для майнинга путем посещения определенного веб-сайта или показа на нем зараженной рекламы, как подробно рассказали исследователи ESET, поставщика программного обеспечения для обеспечения безопасности.
В этом случае, как только вы покинете этот веб-сайт или закроете вкладку, майнинг прекратится. Для большего спокойствия вы также можете заблокировать запуск Javascript на заведомо зараженном сайте, просто используя элементы управления конфиденциальностью и контентом по умолчанию в своем браузере.
Программное обеспечение для блокировки рекламы также может отфильтровывать известные типы программ-майнеров в браузере. Один из таких скриптов для майнинга называется Coin Hive и не обязательно является вредоносным ПО. Его можно встраивать в веб-сайты без ведома посетителя, хотя его разработчики поощряют владельцев веб-сайтов сообщать пользователям о наличии скрипта.
Одно из программ для блокировки рекламы, AdGuard, сканирует сайт, чтобы увидеть, работает ли на нем Coin Hive, и предупредит вас об этом. AdBlock Plus, расширение для браузера, предлагает добавить к своим встроенным параметрам блокировки фильтр, предназначенный для Coin Hive.
…Но не в случае этого типа вредоносного ПО
Исследователи из IBM обнаружили более сложный класс скрытого программного обеспечения для майнинга, которое проникает в вашу систему. Они доставляются через зараженные файлы изображений или при переходе по ссылкам, ведущим на вредоносный сайт. IBM обнаружила, что такие атаки, как правило, нацелены на корпоративные сети, поэтому обратитесь за помощью к своему ИТ-специалисту.
Если ваша система заражена, вы должны обнаружить ухудшение производительности, и в этом случае запустите Монитор активности или Диспетчер задач, чтобы проверить загрузку ЦП. Затем вы можете определить процесс, который потребляет все эти вычислительные циклы, и остановить его с помощью вашего монитора ресурсов, — говорит Дэйв Макмиллен из IBM Managed Security Services, который является автором исследования секретных крипто-майнеров.
Эти штуки добывают биткойны?
Нет, потому что биткойн требует слишком много вычислительной мощности, чтобы добывать его таким образом с прибылью, даже если миллионы обычных компьютеров будут взломаны. Сегодня биткойн-майнеры управляют огромными центрами обработки данных, содержащими тысячи машин, специально созданных — вплоть до чипов — для майнинга биткойнов.
Вместо этого эти майнеры чаще всего пытаются генерировать Monero, ориентированную на конфиденциальность монету, текущая рыночная стоимость которой составляет 1,3 миллиарда долларов. Как и другие криптовалюты, в этом году она выросла в цене: примерно с 15 долларов США в январе до 140 долларов США в начале сентября.
Некоторые крипто-майнинги в браузере разрешены
Некоторые веб-сайты экспериментируют с майнингом в браузере в качестве источника дохода, чтобы заменить рекламу. Например, The Pirate Bay ранее на этой неделе экспериментировал с Coin Hive. «Мы очень хотим избавиться от всей рекламы», — написали администраторы сайта. «Но нам также нужно достаточно денег, чтобы поддерживать работу сайта».
На самом деле мы в Quartz были одними из первых издателей, которые изучили эту модель еще в декабре 2013 года. Увы, даже тогда игра по добыче биткойнов стала слишком конкурентоспособной, чтобы мы могли получать прибыль.
Майнинг криптовалюты не всегда является нашей целью. Узнайте, как проверить, не майнит ли ваш компьютер криптовалюты, и как это предотвратить.
Майнинг криптовалюты на практике — что стоит знать?
История показала, что добыча валюты может быть очень прибыльным бизнесом. Неудивительно, что инвесторы начали использовать компьютерные фермы с огромной вычислительной мощностью для их майнинга. Кроме того, небольшие отдельные майнеры начали собирать и совместно добывать криптовалюты в рамках так называемого майнинг-пула. Все эти действия направлены на увеличение шансов майнинга криптовалют. Появились и незаконные способы их добычи.
Как проверить, майнит ли компьютер криптовалюты?
Недобросовестные майнеры, желая повысить вероятность майнинга криптовалюты, могут устанавливать вредоносное ПО на компьютеры других майнеров или совершенно не подозревая о существовании сторонних криптовалют. Затем они используют вычислительную мощность своих частных компьютеров без ведома пользователей. Именно поэтому стоит научиться проверять, занимается ли компьютер майнингом криптовалют. Для этого следует понимать, что майнер криптовалюты работает не только как программное обеспечение, установленное на компьютере, но и через браузер.
Копаемся в браузере
В случае с браузером лучший способ проверить, использует ли он скрипты, перегружающие браузер, – это проверить процессы, выполняемые браузером. Далее стоит запустить подозрительный сайт и сайт, который полностью безопасен. В это время вы можете проверить загрузку процессора и графического процессора. В случае непропорциональной нагрузки можно предположить, что сайт может заниматься незаконным майнингом криптовалют. В случае с Google Chrome для проверки процессов достаточно войти в диспетчер задач с помощью сочетания клавиш Shift+ESC.
Программное обеспечение на компьютере
Майнер криптовалюты на компьютере — гораздо более серьезная проблема, чем скрытый скрипт в браузере. Вы можете проверить свой компьютер на наличие копий валюты, проведя тщательный анализ загрузки ресурсов. В этом случае следует воспользоваться диспетчером задач, который позволит проверить все процессы, происходящие в системе. Однако стоит вооружиться более качественным комплексным диспетчером задач, чем системный. После запуска компьютера и включения расширенного диспетчера задач должны появиться только системные процессы и программы, заданные в процессе автозагрузки. Если в этот момент нагрузка превышает 20 – 30%, можно предположить, что компьютер копирует базы знаний пользователя о криптовалюте. Итак, как в этой ситуации заблокировать майнинг криптовалюты? Найдите подозрительные процессы и отключите их.
Кенто / Таймингуен / BlackDovFX / Getty Images
Определение криптоджекинга
Криптоджекинг – это несанкционированное использование чужого компьютера для добычи криптовалюты. Хакеры делают это либо заставляя жертву щелкнуть вредоносную ссылку в электронном письме, которое загружает код криптомайнинга на компьютер, либо заражая веб-сайт или интернет-рекламу кодом JavaScript, который автоматически запускается после загрузки в браузере жертвы.
[ Сколько на самом деле стоит кибератака? Взгляните на цифры. | Получайте последние новости от CSO, подписавшись на наши информационные бюллетени. ]
В любом случае код криптомайнинга затем работает в фоновом режиме, поскольку ничего не подозревающие жертвы используют свои компьютеры в обычном режиме. Единственным признаком, который они могут заметить, является более низкая производительность или отставание в выполнении.
Как работает криптоджекинг
У хакеров есть два основных способа заставить компьютер жертвы тайно добывать криптовалюты.Один из них заключается в том, чтобы обманом заставить жертв загрузить код криптомайнинга на свои компьютеры. Это делается с помощью тактики, похожей на фишинг: жертвы получают электронное письмо, выглядящее как законное, которое побуждает их щелкнуть ссылку. Ссылка запускает код, который размещает скрипт криптомайнинга на компьютере. Затем скрипт запускается в фоновом режиме, пока жертва работает.
Другой метод заключается в внедрении скрипта на веб-сайт или в объявление, которое доставляется на несколько веб-сайтов. Как только жертвы посещают веб-сайт или зараженная реклама появляется в их браузерах, скрипт автоматически запускается. На компьютерах жертв код не хранится. Какой бы метод ни использовался, код выполняет сложные математические задачи на компьютерах жертв и отправляет результаты на сервер, которым управляет хакер.
Хакеры часто используют оба метода, чтобы получить максимальную отдачу. «В атаках используются старые приемы вредоносного ПО для доставки более надежного и устойчивого программного обеспечения [на компьютеры жертв] в качестве запасного варианта», — говорит Алекс Вайстих, технический директор и соучредитель SecBI. Например, из 100 устройств, добывающих криптовалюту для хакера, 10 % могут получать доход от кода на компьютерах жертв, а 90 % — через веб-браузеры.
Некоторые скрипты криптомайнинга имеют возможности червей, которые позволяют им заражать другие устройства и серверы в сети. Это также затрудняет их поиск и удаление; поддержание постоянства в сети отвечает финансовым интересам криптоджекера.
Чтобы расширить возможности распространения по сети, код криптомайнинга может включать несколько версий для учета различных архитектур в сети. В одном из примеров, описанном в блоге AT&T Alien Labs, код криптомайнинга просто загружает импланты для каждой архитектуры, пока одна из них не заработает.
Сценарии также могут проверять, не заражено ли устройство конкурирующими вредоносными программами для криптомайнинга. При обнаружении другого криптомайнера скрипт отключает его. Криптомайнер также может иметь механизм предотвращения уничтожения, который срабатывает каждые несколько минут, как отмечается в публикации AT&T Alien Lab.
В отличие от большинства других типов вредоносного ПО, сценарии криптоджекинга не наносят вреда компьютерам или данным жертв. Они крадут ресурсы процессора. Для отдельных пользователей более низкая производительность компьютера может просто раздражать. Организация со многими системами, использующими криптоджекты, может понести реальные расходы, связанные со службой поддержки и временем, затрачиваемым ИТ-специалистами на отслеживание проблем с производительностью и замену компонентов или систем в надежде решить проблему.
Почему криптоджекинг популярен
Никто точно не знает, сколько криптовалюты добывается с помощью криптоджекинга, но нет никаких сомнений в том, что эта практика широко распространена. Поначалу криптоджекинг на основе браузера рос быстро, но, похоже, снижается, вероятно, из-за волатильности криптовалюты и закрытия в марте 2019 года Coinhive, самого популярного майнера JavaScript, который также использовался для законной деятельности по добыче криптовалюты. Киберугроза SonicWall 2020 Отчет показывает, что объем атак криптоджекинга упал на 78 % во второй половине 2019 года в результате закрытия Coinhive.
Однако снижение началось раньше. В отчете Positive Technology Cybersecurity Threatscape Q1 2019 показано, что сейчас на криптомайнинг приходится лишь 7 % всех атак по сравнению с 23 % в начале 2018 года. В отчете говорится, что киберпреступники больше переключились на программы-вымогатели, которые считаются более прибыльными.
«Криптомайнинг находится в зачаточном состоянии. Есть много возможностей для роста и развития», — говорит Марк Лалиберте, аналитик угроз компании WatchGuard Technologies, поставщика решений для сетевой безопасности.
В январе 2018 года исследователи обнаружили ботнет для криптомайнинга Smominru, который заразил более полумиллиона компьютеров, в основном в России, Индии и Тайване. Ботнет был нацелен на серверы Windows для майнинга Monero, и, по оценкам компании Proofpoint, занимающейся кибербезопасностью, на конец января его стоимость составила 3,6 млн долларов США.
Криптоджекинг даже не требует значительных технических навыков. Согласно отчету Digital Shadows «Новые криптовалюты золотой лихорадки — новый рубеж мошенничества», наборы для криптоджекинга доступны в даркнете всего за 30 долларов США.
Простая причина, по которой криптоджекинг становится все более популярным среди хакеров, заключается в том, что больше денег за меньший риск. «Хакеры рассматривают криптоджекинг как более дешевую и прибыльную альтернативу программам-вымогателям, — говорит Вайстих. По его словам, с помощью программ-вымогателей хакер может заставить трех человек платить за каждые 100 зараженных компьютеров. При криптоджекинге все 100 зараженных машин работают на хакера для майнинга криптовалюты. «[Хакер] может совершать те же платежи, что и те три платежа с помощью программ-вымогателей, но криптомайнинг постоянно приносит деньги», — говорит он.
Риск быть пойманным и идентифицированным также намного меньше, чем в случае с программами-вымогателями. Код криптомайнинга работает скрытно и может долгое время оставаться незамеченным.После обнаружения очень сложно отследить источник, и у жертв нет особого стимула делать это, поскольку ничего не было украдено или зашифровано. Хакеры, как правило, предпочитают анонимные криптовалюты, такие как Monero и Zcash, более популярным биткойнам, потому что их сложнее отследить незаконную деятельность.
Примеры криптоджекинга из реального мира
Криптоджекеры — люди умные, и они разработали ряд схем, чтобы заставить чужие компьютеры добывать криптовалюту. Большинство из них не новы; Методы доставки криптомайнинга часто основаны на методах, используемых для других типов вредоносных программ, таких как программы-вымогатели или рекламное ПО. «Вы начинаете видеть много традиционных вещей, которые злоумышленники делали в прошлом», — говорит Трэвис Фаррал, директор по стратегии безопасности в Anomali. «Вместо того, чтобы поставлять программы-вымогатели или трояны, они переоснащают их для доставки модулей или компонентов криптомайнинга».
Вот несколько реальных примеров:
Криптовалютный ботнет Prometei использует уязвимость Microsoft Exchange
Prometei, появившийся еще в 2016 году, представляет собой модульный и многоэтапный ботнет, предназначенный для майнинга криптовалюты Monero. Он использует различные средства для заражения устройств и распространения по сетям. Однако в начале 2021 года Cybereason обнаружила, что Prometei использует уязвимости Microsoft Exchange, использованные в атаках Hafnium, для развертывания вредоносных программ и сбора учетных данных. Затем ботнет будет использовать зараженные устройства для майнинга Monero.
Подводная охота PowerGhost крадет учетные данные Windows
В отчете The Cyber Threat Alliance (CTA) об угрозе незаконного майнинга криптовалют PowerGhost, впервые проанализированный Fortinet, описывается как незаметное вредоносное ПО, которое может избежать обнаружения несколькими способами. Сначала он использует целевой фишинг, чтобы закрепиться в системе, а затем крадет учетные данные Windows и использует инструментарий управления Windows и эксплойт EternalBlue для распространения. Затем он пытается отключить антивирусное программное обеспечение и конкурирующие криптомайнеры.
Graboid, червь-шифровальщик, распространяемый с помощью контейнеров
В октябре компания Palo Alto Networks опубликовала отчет с описанием ботнета для криптоджекинга с возможностью самораспространения. Graboid, как они его назвали, является первым известным червем для криптомайнинга. Он распространяется, находя развертывания Docker Engine, которые доступны в Интернете без аутентификации. По оценкам Palo Alto Networks, Graboid заразил более 2000 развертываний Docker.
Вредоносные аккаунты Docker Hub добывают Monero
В июне 2020 г. компания Palo Alto Networks обнаружила схему криптоджекинга, в которой использовались образы Docker в сети Docker Hub для доставки программного обеспечения для криптомайнинга в системы жертв. Размещение кода криптомайнинга в образе Docker помогает избежать обнаружения. К зараженным изображениям обращались более двух миллионов раз, и, по оценкам Пало-Альто, криптоджекеры получили нечестным путем 36 000 долларов США.
Вариант MinerGate приостанавливает выполнение, когда компьютер жертвы используется
Согласно отчету CTA, компания Palo Alto Networks проанализировала вариант семейства вредоносных программ MinerGate и обнаружила интересную особенность. Он может обнаруживать движение мыши и приостанавливать добычу полезных ископаемых. Это позволяет избежать предупреждения жертвы, которая в противном случае могла бы заметить снижение производительности.
BadShell использует процессы Windows для выполнения своей грязной работы
Несколько месяцев назад Comodo Cybersecurity обнаружила в системе клиента вредоносное ПО, которое использовало законные процессы Windows для майнинга криптовалюты. Дублированный BadShell, который он использовал:
- PowerShell для выполнения команд — сценарий PowerShell внедряет вредоносный код в существующий запущенный процесс.
- Планировщик заданий для обеспечения постоянства
- Реестр для хранения двоичного кода вредоносного ПО
Более подробную информацию о том, как работает BadShell, можно найти в отчете Comodo Global Threat Report Q2 2018 Edition.
Нарушенный сотрудник захватывает системы компании
На конференции EmTech Digital ранее в этом году компания Darktrace рассказала историю своего клиента, европейского банка, который столкнулся с некоторыми необычными моделями трафика на своих серверах. Ночные процессы шли медленно, и диагностические инструменты банка ничего не обнаружили. Darktrace обнаружила, что в это время подключались новые серверы — сервера, которых, по словам банка, не существовало. Физический осмотр центра обработки данных показал, что мошеннический сотрудник установил систему криптомайнинга под половицами.
Обслуживание криптомайнеров через GitHub
В марте компания Avast Software сообщила, что криптоджекеры используют GitHub в качестве хоста для криптомайнинга вредоносных программ. Они находят законные проекты, из которых создают разветвленный проект. Затем вредоносное ПО скрывается в структуре каталогов этого разветвленного проекта. Используя фишинговую схему, криптоджекеры заманивают людей загружать это вредоносное ПО, например, предупреждая об обновлении своего Flash-плеера или обещая сайт с играми для взрослых.
Использование уязвимости rTorrent
Криптохакеры обнаружили уязвимость, связанную с неправильной настройкой rTorrent, из-за которой некоторые клиенты rTorrent становятся доступными без аутентификации для связи XML-RPC. Они сканируют Интернет на наличие незащищенных клиентов, а затем развертывают на них криптомайнер Monero. Компания F5 Networks сообщила об этой уязвимости в феврале и рекомендует пользователям rTorrent убедиться, что их клиенты не принимают внешние подключения.
Facexworm: вредоносное расширение для Chrome
Это вредоносное ПО, впервые обнаруженное «Лабораторией Касперского» в 2017 году, представляет собой расширение Google Chrome, использующее Facebook Messenger для заражения компьютеров пользователей. Первоначально Facexworm доставлял рекламное ПО. Ранее в этом году Trend Micro обнаружила несколько Facexworm, нацеленных на криптовалютные биржи и способных доставлять код для криптомайнинга. Он по-прежнему использует зараженные учетные записи Facebook для доставки вредоносных ссылок, но также может похищать веб-аккаунты и учетные данные, что позволяет внедрять код криптоджекинга на эти веб-страницы.
WinstarNssmMiner: политика выжженной земли
В мае 360 Total Security обнаружила криптомайнер, который быстро распространился и оказался эффективным для криптоджекеров. Эта вредоносная программа, получившая название WinstarNssmMiner, преподносит неприятный сюрприз всем, кто пытался ее удалить: она приводит к сбою компьютера жертвы. WinstarNssmMiner делает это, сначала запуская процесс svchost.exe, внедряя в него код и устанавливая атрибут порожденного процесса на CriticalProcess. Поскольку компьютер воспринимает процесс как критический, после его удаления происходит сбой.
CoinMiner ищет и уничтожает конкурентов
Криптоджекинг стал настолько распространенным явлением, что хакеры разрабатывают свои вредоносные программы, чтобы находить и уничтожать уже запущенные криптомайнеры в зараженных ими системах. Одним из примеров является CoinMiner.
Согласно Comodo, CoinMiner проверяет наличие процесса AMDDriver64 в системах Windows. Внутри вредоносного ПО CoinMiner есть два списка, $malwares и $malwares2, которые содержат имена процессов, которые, как известно, являются частью других криптомайнеров. Затем он убивает эти процессы.
Скомпрометированные роутеры MikroTik распространяют криптомайнеры
Как предотвратить криптоджекинг
Выполните следующие действия, чтобы свести к минимуму риск того, что ваша организация станет жертвой криптоджекинга:
Включите угрозу криптоджекинга в свой курс обучения по вопросам безопасности, сосредоточив внимание на попытках фишинга загрузить скрипты на компьютеры пользователей. «Обучение поможет защитить вас, когда технические решения могут дать сбой», — говорит Лалиберте. Он считает, что фишинг останется основным методом доставки вредоносных программ всех типов.
Читайте также: