SOS :: Security Operation Space
22 июня, пятница, 00:00
|
Hot News:

Smoke Loader мобилизован для засева криптомайнера

13 марта 2018 г., вторник, 07:38

Обнаружена масштабная киберкампания, нацеленная на распространение троянской программы, загружающей майнер.

Microsoft предупреждает о масштабной вредоносной кампании, нацеленной на использование вычислительных ресурсов жертв заражения для майнинга криптовалюты.

Чтобы доставить криптомайнер на Windows-машину, злоумышленники используют троянскую программу-дроппер Dofoil, также известную как Smoke Loader.

Новая Dofoil-кампания была обнаружена шестого марта; за 12 часов исследователи насчитали около 500 тыс. попыток заражения, из которых 73% пришлись на долю России. Повышенная активность новых вариантов зловреда наблюдалась также в Турции (18%) и Украине (4%).

Скрываясь от обнаружения, обновленный Dofoil, по свидетельству Microsoft, использует неординарную технику внедрения кодаprocess hollowing. Троян создает новый экземпляр процесса explorer.exe в состоянии ожидания и затем подменяет легитимный код вредоносным посредством манипуляций с выделенной памятью.

Для обеспечения постоянного присутствия Dofoil копирует себя в папку Roaming AppData под именем ditereah.exe и создает или модифицирует ключ реестра таким образом, чтобы тот указывал на эту копию.

Обновленный зловред получает команды с C&C-сервера, который спрятан в децентрализованной сети Namecoin. Обращение к нему происходит через IP-адреса, работающие как прокси-серверы DNS. По команде Dofoil может подключиться к такому IP или закрыть соединение, загрузить файл с указанного URL, запустить конкретный файл на исполнение или прервать этот процесс, а также уйти в спящий режим на заданный срок.

Загружаемый трояном криптомайнер, как показал анализ, представляет собой кастомную версию NiceHash, то есть его можно использовать для добычи различных цифровых валют. Так, подвергнутый тестированию образец был ориентирован на Electroneum. Примечательно, что для сокрытия от обнаружения этот майнер замаскирован под легитимный бинарник Windows — wuauclt.exe, но его присутствие выдает запуск из другого места и подозрительный сетевой трафик.

В своем отчете исследователи подчеркнули, что раздача Dofoil — лишь новейший способ доставки майнеров в арсенале мошенников, занимающихся криптоджекингом. Майнинг криптовалюты путем несанкционированного использования чужих вычислительных мощностей быстро набирает обороты, и в ход идут любые средства.

Так, с этой целью уже начали использоваться эксплойт-паки, ранее распространявшие вымогательское ПО. Авторы malvertising-кампаний теперь тоже с азартом добывают криптовалюту, позабыв о площадках с эксплойтами. Скрипты-майнеры могут поджидать вас на взломанных серверах или сайтах с зараженными плагинами. Цифровой валютой заинтересовались также банковские трояны, в список целей которых ныне входят криптообменники.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
03:10
14:24
13:56
13:13
12:23
12:13
02:32
16:06
14:40
13:24
12:32
12:08
02:46
01:41
18:39
16:44
14:53
14:29


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.072
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.