“Фірма з кібербезпеки Darktrace визначила нову кампанію з криптовалютою, розроблену для обходу захисника Windows та розгортання програмного забезпечення для видобутку криптовалют. Підсумок Darktrace визначив криптовалюту, яка орієнтована на системи Windows. Кампанія передбачає крадькома розгортання NBMiner для видобутку криптовалют. Кампанія з криптовалютою, вперше визначена наприкінці липня, передбачає багатоступеневу ланцюг інфекції, який”, – Напишіть: www.crypto.news
Фірма з кібербезпеки Darktrace визначила нову кампанію з криптовалютою, розроблену для обходу захисника Windows та розгортання програмного забезпечення для видобутку криптовалют.
Резюме
- Darktrace визначив криптовалюту, яка орієнтована на системи Windows.
- Кампанія передбачає крадькома розгортання NBMiner для видобутку криптовалют.
Кампанія Cryptojacking, вперше ідентифікована наприкінці липня, передбачає багатоступеневу ланцюг інфекції, який спокійно викрадає комп’ютерну переробну силу, щоб видобувати криптовалюту, дослідники Darktrace Кіанна Греліча та Тара Гулд пояснили у звіті, поділеному з Crypto.News.
За словами дослідників, кампанія спеціально націлена на системи на базі Windows, використовуючи PowerShell, вбудовану оболонку командного рядка Microsoft та мову сценаріїв, завдяки якій погані суб’єкти можуть запускати шкідливі сценарії та отримати привілейований доступ до приймаючої системи.
Ці шкідливі сценарії призначені для запуску безпосередньо на системній пам’яті (оперативній пам’яті) і, як результат, традиційні антивірусні інструменти, які, як правило, покладаються на сканування файлів на жорстких дисках системи, не в змозі виявити шкідливий процес.
Згодом зловмисники використовують мову програмування автоматичного програмування, яка є інструментом Windows, який зазвичай використовує ІТ -фахівці для автоматизації завдань, для введення шкідливого навантажувача в законний процес Windows, який потім завантажує та виконує програму видобутку криптовалют, не залишаючи очевидних слідів у системі.
Як додаткова лінія оборони, навантажувач запрограмований для виконання серії перевірок навколишнього середовища, таких як сканування ознак середовища пісочниці та огляд господаря на встановлені антивірусні продукти.
Виконання продовжується лише в тому випадку, якщо Windows Defender є єдиним активним захистом. Крім того, якщо в обліковому записі інфікованого користувача не вистачає адміністративних привілеїв, програма намагається обхід контролю облікового запису користувача для отримання підвищеного доступу.
Коли ці умови виконуються, програма завантажує та виконує NBMiner, відомий інструмент для видобутку криптовалют, який використовує графічний одиницю графічної обробки комп’ютера для шахтних криптовалют, таких як Ravencoin (RVN) та Monero (XMR).
У цьому випадку Darktrace зміг стримувати атаку, використовуючи її автономну систему реагування, “запобігаючи пристрою робити вихідні з’єднання та блокуючи конкретні з’єднання до підозрілих кінцевих точок”.
“Оскільки криптовалюта продовжує зростати в популярності, як це спостерігається при тривалому високій оцінці світової ринку криптовалют (майже 4 трлн. Дол. США під час написання), суб’єкти загрози продовжуватимуть розглядати криптовалют як прибуткове підприємство”, – писали дослідники Darktrace.
Криптоваки з соціальною інженерією
Ще в липні Darktrace позначила окрему кампанію, де погані актори використовували складні тактики соціальної інженерії, наприклад, представлення реальних компаній, щоб обдурити користувачів завантаження зміненого програмного забезпечення, яке розгортає криптовалютне зловмисне програмне забезпечення.
На відміну від вищезгаданої схеми криптовалют, такий підхід націлений на системах Windows, і MacOS і був виконаний самими невідомих жертвами, які вважали, що вони взаємодіють з інсайдерами компанії.