Новый метод взлома: хакеры используют процесс, скрывающий криптовалюту

В попытке спрятать вредоносное ПО на компьютерах жертв, хакеры разработали тактику атаки и используют методику «затопления процессов» (халловинга), согласно отчёту ZDNet.

Об этом сообщили в среду три исследователя из компании по кибербезопасности: Trend Micro – Арианна Дела Круз, Джей Небре и Аугусто Ремилано.

Хакеры провели организованную кампанию с использованием вредоносного ПО, используя необычный компонент-дроппер, содержащий вредоносный код, в течение всего ноября в разных странах, включая Кувейт, Таиланд, Индию, Бангладеш, Объединенные Арабские Эмираты, Бразилию и Пакистан.

В отчёте уточняется, что эта техника атаки сложна, так как файл, внедренный в компьютер жертвы, действует и как средство удаления вредоносных программ, и как архив, который сам по себе не является вредоносным. Файл содержит основные исполняемые и криптографические коды майнинга, но делает их неактивными.

Чтобы вызвать намеренное неправильное поведение ПК, дропперу нужен определенный набор кодов командной строки, которые действуют как триггер. После выполнения команды файл действует как самый обычный файл и не оставляет никаких следов вредоносного воздействия. Эта техника широко известна как процесс халловинга.

Более того, во избежание сканирования вредоносных программ вредоносный код скрыт в каталоге без каких-либо расширений.

Чтобы избежать любого внезапного срабатывания, вредоносное ПО контролирует цифровую валюту, в основном Monero.

«В то время как число новых подпрограмм для злоумышленников, занимающихся майнингом криптовалют, увеличилось, общее количество операций по добыче монет в этом году сократилось», − пояснила компания по кибербезопасности.

«Мы подозреваем, что киберпреступники, стоящие за этой кампанией, возможно, воспользовались уменьшением числа конкурентов, особенно когда год подходит к концу».

Чтобы скрыться от обнаружения, злоумышленники используют несколько методов для извлечения прибыли из Monero на других компьютерах. В конце прошлого месяца Finance Magnates сообщили, что печально известный ботнет Stantinko добавил возможности крипто-майнинга и использует YouTube, чтобы скрыть все нарушения.