Исследователи вычислили новый ботнет, который прячется в, казалось бы, безобидном контенте, и майнит криптовалюту. В этот раз рассадником вредоносного программного обеспечения стала фотография певицы Тейлор Свифт. Известный под названием MyKings (а также DarkCloud или Smominru) ботнет работает с 2016 года. По крайней мере, так говорится в свежем пресс-релизе Габора Саппаноса из SophosLabs.
Напомним, ботнет представляет собой компьютерную сеть, которая состоит из хостов с запущенными ботами — то есть по сути автономным программным обеспечением. Обычно бот в составе ботнета является программой. Её скрытно устанавливают на устройство жертвы, после чего злоумышленник может выполнять определённые действия с использованием ресурсов заражённого компьютера.
Вот цитата эксперта из SophosLabs.
И хотя мы в Sophos стараемся актуализировать механизмы обнаружения вредоносного кода, создатели MyKings встроили специальную функциональность, которая в значительной степени усложняет выявление и удаление этого вредоносного программного обеспечения. Ботнет проводит серию атак на сервер с целью распространить исполняемый файл – троян под названием Forshare.
Forshare широко используется для того, чтобы посредством вычислительных мощностей устройства жертвы майнить криптовалюту Monero. По состоянию на сегодняшний день операторы ботнета заработали на своей активности уже около 3 миллионов долларов. Речь идёт о сумме в районе 300 долларов в день, учитывая относительно низкий курс криптовалюты в последнее время.
Что за вирус майнит криптовалюту Monero?
Как видно, это незначительно изменённая фотография популярной певицы Тейлор Свифт. Как объясняют специалисты из SophosLabs, фотография в формате .jpg была загружена в публичный репозиторий. При этом в коде изображения скрывается исполняемый файл, который автоматически обновляет ботнет при скачивании.
Исследование SophosLabs раскрывает сложный характер механизма устойчивости MyKings, – он умеет воссоздавать копии самого себя и автоматически обновляется. Даже если большинство компонентов ботнета уже удалены с компьютера, остальные могут восстановить его в исходное состояние, просто обновившись через интернет. Все это осуществляется с помощью самораспаковывающихся RAR-архивов и пакетных файлов Windows.
В докладе говорится, что наибольшее распространение вирус получил в Китае, Тайване, России, Бразилии, США, Индии и Японии.
Как видим, стать майнером намного проще, чем кажется. В теории для этого достаточно установить пиратское программное обеспечение, приложение из ненадёжного источника или даже странную картинку. После этого ресурсы компьютера будут использоваться для добычи Monero XMR. Много денег устройство не принесёт, но поскольку у хакеров огромное количество подобных "ферм", они могут на этом жить.
Пока нам остаётся стараться сохранить анонимность при работе в сети и быть предельно осторожными. Ну а стать настоящим майнером получится на пуле 2Miners.
