Стоимость биткоина продолжает расти, и валюта привлекает к себе всё больше внимания со стороны киберпреступников. Для загрузки программ, предназначенных для майнинга криптовалюты на скомпрометированных компьютерах ничего не подозревающих пользователей, злоумышленники стали использовать старые проверенные технологии, зарекомендовавшие себя на распространении рекламного ПО, кликеров и шпионских программ.

Одним из последних был обнаружен поток скрытых загрузок, нацеленных на установку вредоносной программы для майнинга под названием Zminer.

Исполняемый файл Zminer извлекается из набора эксплойтов, который в свою очередь обращается к хранилищу Amazon S3 для загрузки утилит Claymore CryptoNote CPU Miner и Manager.exe. Первая нацелена на добычу Monero, криптовалюты с открытым исходным кодом, предназначенной для совершения анонимных денежных транзакций. Вторая контролирует процесс майнинга и выдает инструкции для планировщика заданий Windows.

Как только Zminer запущен на компьютере жертвы, он находит и отключает «Защитника Windows» путем добавления ключей в системный реестр. Пока не было обнаружено версий Zminer, пытающихся отключить антивирусную защиту других вендоров.

Так как процесс майнинга обычно требует много ресурсов от компьютера, почти вся мощность скомпрометированной машины будет направлена именно на добычу криптовалюты. Как результат, компьютер нрачинает работать крайне медленно. Для пользователя это должно стать сигналом к тому, что есть вероятность заражения вредоносной программой.

Киберпреступники использовали Amazon S3, так как он позволяет легко загрузить дополнительные программы для работы зловреда и убедить жертву в надежности их источника.

Майнинг криптовалюты продолжает приносить хороший доход злоумышленникам. Даже предполагаемые распространители вымогателя WannaCry из Северной Кореи использовали эксплоит EternalBlue SMB для распространения майнера Adylkuzz.

Категории: Вредоносные программы, Главное