Анализ данных телеметрии, проведенный специалистами вирусной лаборатории «Доктор Веб», выявил образцы вредоносных программ, которые являются частью активной кампании по майнингу криптовалюты Monero. Уникальность этой кампании заключается в использовании цепочек вредоносных программ, где в двух цепочках задействованы скрипты, извлекающие полезную нагрузку из файлов изображений в формате BMP.
Характеристика кампании
Кампания, вероятно, началась в 2022 году с обнаружения исполняемого файла Services.exe, представляющего собой .NET-приложение, которое запускает скрипт VBScript, создающий бэкдор-функции. Один из загруженных вредоносных файлов — ubr.txt — представляет собой скрипт PowerShell, который:
- проверяет наличие существующих майнеров;
- заменяет их на взломанных компьютерах на майнер SilentCryptoMiner, используемый злоумышленниками.
Технические детали и методы сокрытия
Кампания включает различные замаскированные файлы майнеров, выдаваемые за программное обеспечение для видеозвонков в Zoom или службы Windows. Все они предназначены для:
- удаления существующих майнеров;
- установки нового майнера;
- предоставления обновлений.
Кроме того, кампания обеспечивает доступ к домену getcert.net для настройки майнинга криптовалюты. Злоумышленники усовершенствовали кампанию, внедрив стеганографию — метод сокрытия информации в других данных, чтобы избежать обнаружения.
Угрозы и вредоносные компоненты
Новая цепочка включает троянца Amadey, который запускает скрипт PowerShell, загружающий BMP-изображения с imghippo.com, извлекая из них исполняемые файлы, включая троян-похититель и полезную нагрузку, отключающую меры безопасности и получающую доступ к доменам, контролируемым злоумышленниками.
SilentCryptoMiner, к которому можно получить доступ с помощью стеганографии, скрыт внутри изображений, чтобы избежать обнаружения, и эволюционирует для использования законных ресурсов и GitHub для хранения полезной нагрузки. Модули майнера проверяют наличие изолированных программ и виртуальных машин и обнаруживают инструменты для исследования кибербезопасности.
Финансовые результаты и рекомендации
Связанный с кампанией кошелек получил 340 XMR, что указывает на потенциально значительную прибыль для мошенников из-за волатильности цен на Monero. Кампания нацелена на обычных пользователей: взломанные компьютеры выдают средний хэшрейт в 3,3 миллиона хэшей в секунду, генерируя 1 XMR каждые 40 часов.
Данная ситуация подчеркивает растущее использование стеганографии хакерами и необходимость проявлять бдительность в цифровой среде. «Доктор Веб» рекомендует соблюдать осторожность:
- устанавливать программное обеспечение только из надежных источников;
- избегать подозрительных ссылок;
- поддерживать антивирусную защиту при загрузке файлов.
Анализ угроз демонстрирует передовые методы, используемые киберпреступниками. Это требует постоянного повышения осведомленности и принятия мер безопасности для эффективного снижения рисков.
Для получения более подробной информации о конкретных вредоносных компонентах, упомянутых в отчете, читателям рекомендуется ознакомиться с подробными статьями о PowerShell.Starter.98, PowerShell.DownLoader.1640, Trojan.PackedNET.2429 и VBS.Загрузчик.2822.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Стеганография в действии: новая угроза майнеров Monero".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.