Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Новый бэкдор с PyBitmessage и Monero майнером ускользает от защиты

3 мин
Аналитический центр безопасности AhnLab (ASEC) обнаружил сложную вредоносную программу-бэкдор, которая работает совместно с Monero coinminer, используя библиотеку PyBitmessage для обмена данными по одноранговой (P2P) сети. Такое архитектурное решение позволяет злоумышленникам скрывать вредоносную активность, обходя традиционные методы обнаружения. Использование протокола Bitmessage — криптографического протокола, обеспечивающего анонимность и децентрализацию — создаёт дополнительные трудности для систем кибербезопасности. Благодаря сквозному шифрованию и одноранговому обмену сообщениями, вредоносное ПО: Модуль PyBitmessage позволяет отправлять и получать зашифрованные сообщения, которые по своему характеру напоминают обычный веб-трафик. Такой подход значительно усложняет выявление вредоносной активности традиционными средствами обнаружения. Вредоносная программа состоит из двух основных компонентов: Оба компонента находятся в зашифрованном виде внутри ресурса исполняемого файла. После
Оглавление
Источник: asec.ahnlab.com
Источник: asec.ahnlab.com

Новая вредоносная программа с использованием PyBitmessage и монеро-майнера выявлена аналитиками AhnLab

Аналитический центр безопасности AhnLab (ASEC) обнаружил сложную вредоносную программу-бэкдор, которая работает совместно с Monero coinminer, используя библиотеку PyBitmessage для обмена данными по одноранговой (P2P) сети. Такое архитектурное решение позволяет злоумышленникам скрывать вредоносную активность, обходя традиционные методы обнаружения.

Особенности и механизмы работы вредоносной программы

Использование протокола Bitmessage — криптографического протокола, обеспечивающего анонимность и децентрализацию — создаёт дополнительные трудности для систем кибербезопасности. Благодаря сквозному шифрованию и одноранговому обмену сообщениями, вредоносное ПО:

  • избегает подключения по стандартным HTTP и IP протоколам;
  • обеспечивает анонимизацию сообщений отправителя и получателя;
  • предотвращает атаки типа «человек посередине»;
  • маскирует команды C2 (Command and Control) внутри законного трафика Bitmessage, что затрудняет их обнаружение антивирусами.

Модуль PyBitmessage позволяет отправлять и получать зашифрованные сообщения, которые по своему характеру напоминают обычный веб-трафик. Такой подход значительно усложняет выявление вредоносной активности традиционными средствами обнаружения.

Структура и функционал вредоносного ПО

Вредоносная программа состоит из двух основных компонентов:

  • Monero coinminer — майнер криптовалюты Monero, известной своей высокой степенью анонимности, который тайно использует ресурсы заражённой системы для добычи валюты;
  • PowerShell-бэкдор, который инициализирует файл PyBitmessage для обработки входящих POST-запросов на локальном порту 8442.

Оба компонента находятся в зашифрованном виде внутри ресурса исполняемого файла. После запуска происходит их извлечение и расшифровка с помощью операции исключения (XOR). Далее вредоносный модуль PyBitmessage, созданный с помощью PyInstaller, генерирует различные файлы в каталоге %TEMP%_MEI~~ и выполняет их, включительно с модификацией файла QtGui4.dll. Эта модификация направлена на отключение его обычной функциональности с целью скрыть присутствие вредоносного ПО.

Методы загрузки и скрытность

Вредоносная программа пытается загрузить файл PyBitmessage с релизной страницы на GitHub. В случае неудачи загрузка осуществляется с персонального диска, размещённого на spcs.bio. Этот факт, а также язык и контекст сайта позволяют предположить потенциальную связь с российскими злоумышленниками.

Опасности и рекомендации для пользователей

Ожидая команды управления, вредоносная программа перехватывает входящие сообщения в виде PowerShell сценариев и исполняет их в соответствии с указанным путем. Использование легитимных функций стандартных приложений значительно усложняет обнаружение и отслеживание вредоносной активности.

Несмотря на то, что методы распространения пока не подтверждены, есть основания полагать, что вредоносное ПО маскируется под безопасные файлы или внедряется в взломанные версии программного обеспечения. В связи с этим экспертами настоятельно рекомендуется:

  • избегать загрузки и запуска файлов из непроверенных источников;
  • использовать исключительно официальные каналы распространения программного обеспечения;
  • регулярно обновлять антивирусные и другие продукты кибербезопасности;
  • быть внимательными к необычному поведению системы, что может сигнализировать о компрометации.

Заключение

Обнаружение данной вредоносной программы свидетельствует о росте уровня сложности современных кибератак и использовании инновационных технологий для обхода систем защиты. Протокол Bitmessage и инструменты, такие как PyBitmessage, демонстрируют, насколько важно совершенствовать методы мониторинга и анализа сетевого трафика. Постоянное изучение новых векторов атак и своевременное обновление средств защиты являются ключевыми для обеспечения информационной безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новый бэкдор с PyBitmessage и Monero майнером ускользает от защиты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.