Хотя существование криптовалют, которые не полагаются на специализированное оборудование, благотворно для децентрализации блокчейн-сетей, это дает возможность злоумышленникам захватывать оборудование для майнинга крипты на GPU или CPU других участников сети – это процесс, известный как вредоносный майнинг, или криптоджекинг.
Индустрия майнинга биткоинов в настоящее время управляется специализированным дорогостоящим оборудованием ASIC, которое медленно вытесняет мелких майнеров и любителей с рынка, но это не означает, что невозможно получить прибыль от майнинга на GPU или «дружественных» к процессору криптовалют, некоторые из которых предлагают более высокую прибыль от майнинга, чем Биткоин и Эфириум.
В настоящее время существует множество превентивных мер для обеспечения безопасности, которые не позволяют злоумышленникам захватывать интернет-браузеры для вредоносного майнинга. Простые браузерные расширения теперь могут предотвратить криптоджекинг в браузере, и основные программные платформы для кибербезопасности теперь используют контрмеры против криптоджекинга.
Однако увеличение контрмер против криптоджекинга заставило злоумышленников разработать новые векторы атаки для бесплатной добычи крипты. В первом квартале 2019 года мы стали свидетелями того, как мошенники, используя новые изощренные способы, выискивают жертву и получают доступ к оборудованию ничего не подозревающих пользователей.
Магазин приложений Windows усеян вирусными приложениями
В феврале 2019 года компания Microsoft удалила восемь приложений windows 10 из официального магазина приложений Windows 10 после анализа Symantec, который выявил наличие мошеннической активности.
Анонсированные Symantec Threat Intelligence 15 февраля, удаленные приложения были идентифицированы как тайные CPU-майнеры, которые использовали оборудование пользователей Windows 10 для добычи Monero, одной из самых популярных дружественных к CPU и ASIC-устойчивых криптовалют.
Архитектура вредоносных приложений показывает, насколько далеко они продвинулись в своей сложности по сравнению с традиционными попытками криптоджекинга: после загрузки приложения получали доступ к библиотеке JavaScript-майнинга, запустив менеджер тегов Google на своих доменных серверах. Затем активировался скрипт майнинга, и большая часть мощности процессора пользователя использовалась мошенниками для майнинга Monero.
Китайское вредоносное ПО для майнинга нацелено на серверы Linux
Изощренная группа киберпреступников, предположительно действующих из Китая, обнаруженная фирмой по кибербезопасности Intezer, была замечена за взломом серверов Linux с целью установки вредоносного ПО для майнинга.
Исследователи Intezer опубликовали обширный отчет о майнере Antd, впервые замеченном 18 сентября 2018 года, который в основном работал с скомпрометированных сторонних серверов Linux. Назвавшиеся как «Pacha Group», злоумышленники использовали атаки грубой силы для доступа к сервисам WordPress и PhpMyAdmin и последующего доступа к базовому серверу.
Пример вредоносного ПО Antd является вариантом XMRig, использующим протокол майнинга Stratum. Поскольку Antd добавляет сервис Systemd, который имитирует легитимный сервис mandb, маловероятно, что исследователи идентифицируют угрозу, если только они не станут специально ее искать.
Docker-хосты эксплуатируются злоумышленниками Monero
Docker - это очень популярная служба виртуализации системного уровня, которая широко используется среди множества корпоративных организаций и производственных узлов для разработки и запуска приложений в контейнерах. Исследование, опубликованное Imperva в начале марта, показывает, что новая уязвимость в сочетании с открытым удаленным API Docker может привести к угрозе хоста.
Отчет Imperva показывает, что уязвимость позволила сотням злоумышленников воспользоваться преимуществами скомпрометированных хостов для запуска операций майнинга Monero, используя для финансовой выгоды системы крупных предприятий.