Вирус не найден: как криптоджекеры избегают обнаружения
Методы обфускации (запутывания кода), применяемые создателями вредоносных программ для скрытого майнинга криптовалют, становятся все более изощренными. К такому выводу пришли специалисты японской компании кибербезопасности Trend Micro.
Исследователи Trend Micro нашли новый вредоносный код, в котором используется целый набор методов, помогающих избежать обнаружения. Программа для скрытого майнинга, получившая название Coinminer.Win32.MALXMR.TIAOODAM, устанавливается на компьютер жертвы вместе с инсталлятором операционной системы Windows.
«Использование реального компонента ОС Windows не только делает вредоносное ПО менее подозрительным, но и позволяет ему обойти определенные фильтры безопасности», — говорится в отчете компании.
Согласно исследованию, проведенному специалистами по кибербезопасности, вредоносный программный продукт устанавливается в папку %AppData%\Roaming\Microsoft\Windows\Template\FileZilla (FileZilla представляет собой бесплатное приложение для скачивания и загрузки файлов в интернете). Если директории не существует, вредоносная программа создает ее самостоятельно.
Среди содержащихся в директории файлов присутствует скрипт, останавливающий работу всех запущенных антивирусных программ. После установки вредоносное ПО создает три новых процесса Service Host, некоторые из которых используются для повторной загрузки хакерской программы в случае ее блокировки:
«Первый и второй SvcHost-процессы действуют в качестве программного сторожа, вероятно, для поддержания постоянной работы ПО. Они отвечают за повторную загрузку файла Windows Installer (.msi) через инструмент Powershell в случае прекращения работы инфицированного svchost-процесса», — объясняют специалисты Trend Micro.
Дополнительно программа для скрытого майнинга оснащена механизмом саморазрушения, задача которого — еще больше затруднить обнаружение и анализ вредоносного кода. Это достигается через удаление всех файлов, содержащихся в директории установки, а также избавление от всех следов установки.
Процесс инсталляции обнаруженного вредоносного ПО написан на кириллице, тем не менее, страну источника атаки установить не удалось.
В последнее время мы все чаще слышим о новом виде хакерских атак — криптоджекинге (cryptojacking) или скрытом майнинге. Цель атаки заключается в том, чтобы установить на компьютер жертвы код, позволяющий киберпреступникам добывать криптовалюты без использования собственных ресурсов. По оценкам специалистов группы кибербезопасности Cyber Threat Alliance, в этом году использование криптоджекинга выросло на 459%.
В начале этого года Лаборатория Касперского заявила о снижении количества атак популярных в прошлом году вирусов-вымогателей. Очень вероятно, что снижение активности может быть обусловлено массовым переходом злоумышленников на более доходный криптоджекинг.
Источник
Полный текст статьи читайте на Компьютерра