Зловреден софтуер за копаене на криптовалута използва силно агресивни тактики – които изследователите са проектирали обратно, за да осигурят защита.
Сигурност
- 8 навика на много сигурни дистанционни работници
- Как да намерите и премахнете шпионски софтуер от телефона си
- Най-добрите VPN услуги: Как се сравняват топ 5?
- Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това
Като зловреден софтуер за копаене на криптовалута става все по-популярен сред киберпрестъпниците, те променят тактиката си, за да увеличат шансовете да направят възможно най-много пари от експлоатирани системи – сега дори се стига до убиване на друг злонамерен софтуер за криптовалути, който преди това е компрометирал същия сървъри.
Изследователи в Minerva Labs разкриха нова форма на зловреден софтуер за копаене на криптовалута, наречена GhostMiner, която използва техники за доставка на зловреден софтуер без файлове, за да кацне на системи. Ако друг злонамерен софтуер за криптовалута вече е в системата, той ще се бори да го премахне, за да спечели Monero.
Елементите за копаене на GhostMiner са вградени в злонамерен изпълним файл на Windows. Той се възползва от рамките на PowerShell, за да внедри безфайлови техники, които скриват зловреден софтуер до такава степен, че той остава незабелязан от редица продукти за сигурност.
GhostMiner се разпространява, като иска да атакува WebLogic сървъри, което изследователите предполагат, че се постига чрез произволно проучване на IP адреси всяка секунда с надеждата да се намери цел.
Свали сега:Политика за информационна сигурност
За да осигури възможно най-голям успех, GhostMiner работи, за да елиминира всеки друг злонамерен инструмент за копаене, инсталиран в системата, преди да започне да придобива Monero за себе си.
Изследователите отбелязват, че зловредният софтуер използва редица техники за елиминиране на конкуренцията. Те включват убиване на работещи миньори чрез използване на командата "Stop-Process-force" на PowerShell с помощта на твърдо кодиран черен списък, спиране и изтриване на миньори в черен списък и дори премахване на миньори, които се изпълняват като планирани задачи в черен списък.
GhostMiner също така ще спре и премахне миньорите, като прегледа списъка с установени TCP връзки, търсейки портове, свързани с миньорите, преди да ги спре.
Въпреки използваната агресивна тактика, GhostMiner само е намалял онези, които стоят зад него сума пари в рамките на малко повече от три седмици: 1,03 Monero, което се равнява на малко повече $200. Независимо от това престъпниците може успешно да са скрили допълнителни средства другаде.
Сега прочетете: Какво е зловреден софтуер? Всичко, което трябва да знаете за вируси, троянски коне и зловреден софтуер
„Много е правдоподобно, че има други адреси, използвани в тази кампания, неоткриваеми поради функциите за анонимност на Monero“, пишат изследователите на Minerva Асаф Апрозпер и Гал Битенски.
За да се бори с тази форма на атака за копаене на криптовалута, Minerva предостави модифицирана версия на „убийствения скрипт“, за да помогне на екипите за реагиране при инциденти да напишат свои собствени PowerShell скриптове за премахване на злонамерени копачи.
Добивът на криптовалута става все по-популярен сред киберпрестъпниците като средство за лесно -- и тихо -- правене на пари. Дори стана популярен до такава степен че е станал толкова доходоносен, колкото ransomware.
Скорошно и свързано покритие
Служители на Бюрото по метеорология, разпитани от AFP относно копаене на криптовалута: Доклад
ABC първо съобщи, че служителите са разследвани от Австралийската федерална полиция за предполагаемо копаене на криптовалута на компютрите на бюрото.
Рекламната мрежа заобикаля блокерите, за да отвлече браузъри за копаене на криптовалута
Рекламна мрежа измисли начин да игнорира рекламните блокери, за да обслужва скриптове за добив на криптовалута на посетителите.
Telegram нулев ден позволява на хакерите да разпространяват зловреден софтуер за задни вратички и копаене на криптовалута
Първите атаки бяха извършени през март 2017 г. и се извършват от руски банди за киберпрестъпност, казва Kaspersky Lab.
ПРОЧЕТЕТЕ ПОВЕЧЕ ЗА КИБЕРПРЕСТЪПЛЕНИЯТА
- Зловреден софтуер за копаене на криптовалута използва петгодишна уязвимост, за да копае Monero на Linux сървъри
- Близо 50 000 уебсайта са заразени със злонамерен софтуер за копаене на криптовалута, установи проучване [TechRepublic]
- Кибер нападателите печелят от копаене на криптовалута - но ето защо избягват биткойн
- Как да спрете уебсайтовете да използват вашия компютър за копаене на биткойни (и други) [CNET]
- Атаката с криптоджакинг използва изтекъл EternalBlue NSA експлойт за заразяване на сървъри