За девять месяцев исследователи из Palo Alto Networks выявили 166 тыс. случаев заражения троянской программой Rarog, которая в основном используется для скрытого майнинга Monero на Windows. Большинство жертв этого довольно заурядного зловреда прописаны на Филиппинах, в России и Индонезии.

Напомним, одна из недавних кампаний по распространению Rarog использовала слабость парольной защиты доступа к административной панели Magento и затронула не менее 1000 сайтов, использующих эту CMS-платформу.

В Palo Alto отслеживают связанную с Rarog активность с июля прошлого года. На настоящий момент обнаружено 2,5 тыс. уникальных образцов этой вредоносной программы и более 160 командных серверов — с набольшей концентрацией в России и Германии.

По данным ИБ-компании, новоявленный троян со встроенным майнером объявился на подпольных русскоязычных форумах около года назад. На тот момент некто, использующий ник arsenkooo135, продавал новый зловред за 6 тыс. рублей, предлагая также гостевую админпанель для «тест-драйва».

Свое имя Rarog, как полагают эксперты, позаимствовал у огненного духа из славянской мифологии. Анализ показал, что эта вредоносная программа предоставляет возможность регулирования нагрузки на ЦП жертв и отслеживания результатов криптомайнинга. Троян также пытается скрыть работу майнера от Диспетчера задач Windows и специализированных программ-анализаторов запущенных процессов (NetMonitor, KillProcess, System Explorer, Process Hacker и т. п.).

Кроме добычи Monero и других криптовалют, Rarog умеет выполнять некоторые функции, свойственные ботам, — в частности, загружать и запускать на исполнение дополнительные вредоносные файлы, самостоятельно обновляться, проводить DDoS-атаки. Кроме того, он способен заражать устройства, подключаемые по USB.

Примечательно, что пока результаты деятельности Rarog как майнера не впечатляют: самый успешный пользователь разбогател лишь на 120 долларов в Монеро и Байткоинах (BCN), то есть худо-бедно окупил свое приобретение. Остальные покупатели этого зловреда, похоже, остались в убытке.

Исследователям удалось связать Rarog с другим аналогичным трояном — DiscordiaMiner, обнаруженным в середине прошлого года «Лабораторией Касперского». По свидетельству Palo Alto, обоих зловредов роднит не только сходство исходных кодов, но также авторство: представители семейства Rarog были обнаружены вместе с другим вредоносным ПО в Github-репозитории некоего foxovsky — предполагаемого создателя DiscordiaMiner.

Эта персона оказалось в центре скандала в мае, когда некоторые пользователи обвинили ее в подмене адресов криптокошельков. После неприятного инцидента foxovsky был вынужден открыть исходники DiscordiaMiner. Исследователи полагают, что впоследствии вирусописатель попросту переименовал свое детище в Rarog, чтобы избавить его от негативных ассоциаций.

Категории: Аналитика, Вредоносные программы