Создатели ботнета-криптомайнера DDG резко повысили активность, выпустив за неполный месяц шесть обновлений. Злоумышленники перевели свое детище на пиринговую основу и укрепили защиту от антивирусных систем.

ИБ-специалисты обнаружили ботнет DDG в феврале 2018 года. Он добывает токены Monero на ворованных серверных мощностях, взламывая системы обработки данных через подбор паролей и несколько известных уязвимостей. Злоумышленники рассчитывают, что высокопроизводительное корпоративное оборудование обеспечит лучший приток криптовалюты по сравнению с пользовательскими машинами.

В январе 2019 года создатели DDG последовательно опубликовали шесть свежих версий ботнета — с 3015-й по 3020-ю. Эксперты не нашли в коде дополнительных эксплойтов, однако даже без этого новые особенности значительно повышают угрозу вредоноса.

Главное изменение состоит в том, что зараженным хостам теперь не нужно обращаться за информацией к управляющим серверам. Все данные с настройками пересылаются между участниками ботнета по принципу пиринговой сети. При этом децентрализованные P2P-структуры гораздо сложнее остановить — фактически для этого нужно заблокировать каждый зараженный хост.

Новые функции появились в DDG v3015, которая вышла 3 января. В первой вариации создатели ботнета предусмотрели только один IP-нод, через который все хосты подключаются к пиринговой сети и получают конфигурационные данные. Уже в следующем поколении количество узлов приблизилось к сотне, из которых основную часть составляли зараженные хосты. Последняя на данный момент версия включает уже 200 нодов, которые хранятся не в открытом виде, как до этого, а в 16-битном формате. Вредоносы этого поколения также обращаются за списком активных пиров ко встроенной базе данных — ранее злоумышленники хранили эту информацию в локальном файле.

Еще одно новшество, которое эксперты обнаружили в актуальной версии DDG, защищает пересылаемую техническую информацию. Вредонос применяет для этого RSA-шифрование, а каждый участник сети проверяет цифровую подпись, прежде чем применить полученные настройки. Это лишает экспертов возможности подменить данные и деактивировать ботнет.

Специалисты заключают, что авторы ботнета еще не закончили работу над ним. Об этом говорят, например, появляющиеся и исчезающие от поколения к поколению функции. Так, в 3017–3018-х версиях был встроенный распаковщик UPX v3.9.5, который уменьшал размер исполняемого файла. Он пропал в DDG v3019 и вернулся в v3020.

По состоянию на конец января обновленный DDG объединял почти 6000 участников и принес операторам около 234 XMR (чуть меньше $13 тыс. по курсу на день публикации). Основная часть жертв — 4,7 тыс. хостов — находится в Китае. Вредоносная сеть также включила компьютеры в США, Бразилии, России и других странах по всему миру.

Ранее американские правоохранительные органы рассказали о борьбе с ботнетом Joanap. Этот зловред на вооружении предположительно северокорейской группировки Hidden Cobra атакует пользователей Windows, чтобы получить скрытый доступ к их компьютерам и распространять зловредное ПО.

Категории: Вредоносные программы, Главное