криптоджекинг вредоносное ПО Microsoft безопасность криптовалюта майнинг
Microsoft рассказала, что такое криптоджекинг и описала кампанию обновленного вредоносного ПО.
Согласно
отчету исследовательской группы
Microsoft 365 Defender, криптоджекеры продолжают атаковать компьютеры по всему миру и становятся более скрытными.
Криптоджекеры представляют из себя вредоносное ПО, которое внедряется в компьютер и использует ресурсы устройства жертвы для получения выгоды без ведома пользователя. Криптоджекеры являются одной из категорий угроз, которые появились и процветают с момента появления криптовалют. За последний год компании столкнулись с миллионами криптоджекеров.
Согласно Microsoft, jаvascript часто используется при создании
криптоджекеров , которые в описанном случае используют браузеры для проникновения в системы. Microsoft также предупредил о существовании бесфайловых криптоджекеров, которые майнят в памяти устройства и сохраняют постоянство, злоупотребляя легальными программами и LolBins.
Киберпреступники часто используют «notepad.exe» в своих кампаниях. В описанной Microsoft кампании использовалась улучшенная версия криптоджекера Mehcrypt.
Новая версия объединяет все свои подпрограммы в один сценарий и подключается к C2-серверу на последнем этапе цепочки атак.
Средством доставки угрозы служит архив, содержащий «autoit.exe» и сильно замаскированный скрипт с произвольным названием и расширением «.au3». Autoit.exe запускается при открытии файла архива и декодирует AU3-скрипт в памяти.
Когда скрипт выполняется, он продолжает декодировать дополнительные «слои» обфускации и загружает в память новые декодированные скрипты. Затем скрипт помещает свою копию и файл autoit.exe в папку с произвольным именем в папке «C: ProgramData».
Чтобы запускать сценарий при каждом запуске устройства, скрипт вставляет записи реестра автозапуска и создает запланированное задание для уничтожения исходных файлов.
Затем ПО сохраняется, загружает вредоносный код в «VBC.exe» с помощью очистки процессов и устанавливает соединение с C2-сервером для ожидания команд. ПО загружает свой код криптоджекинга в «notepad.exe», используя очистку процесса на основе ответа C2-сервера.