23.08.2022 | Microsoft: криптоджекеры по-прежнему представляют угрозу, несмотря на криптозиму |
Согласно отчету исследовательской группы Microsoft 365 Defender, криптоджекеры продолжают атаковать компьютеры по всему миру и становятся более скрытными. Криптоджекеры представляют из себя вредоносное ПО, которое внедряется в компьютер и использует ресурсы устройства жертвы для получения выгоды без ведома пользователя. Криптоджекеры являются одной из категорий угроз, которые появились и процветают с момента появления криптовалют. За последний год компании столкнулись с миллионами криптоджекеров. Согласно Microsoft, JavaScript часто используется при создании криптоджекеров , которые в описанном случае используют браузеры для проникновения в системы. Microsoft также предупредил о существовании бесфайловых криптоджекеров, которые майнят в памяти устройства и сохраняют постоянство, злоупотребляя легальными программами и LolBins. Киберпреступники часто используют «notepad.exe» в своих кампаниях. В описанной Microsoft кампании использовалась улучшенная версия криптоджекера Mehcrypt. Новая версия объединяет все свои подпрограммы в один сценарий и подключается к C&C-серверу на последнем этапе цепочки атак. Средством доставки угрозы служит архив, содержащий «autoit.exe» и сильно замаскированный скрипт с произвольным названием и расширением «.au3». Autoit.exe запускается при открытии файла архива и декодирует AU3-скрипт в памяти. Когда скрипт выполняется, он продолжает декодировать дополнительные «слои» обфускации и загружает в память новые декодированные скрипты. Затем скрипт помещает свою копию и файл autoit.exe в папку с произвольным именем в папке «C: ProgramData». Чтобы запускать сценарий при каждом запуске устройства, скрипт вставляет записи реестра автозапуска и создает запланированное задание для уничтожения исходных файлов. Затем ПО сохраняется, загружает вредоносный код в «VBC.exe» с помощью очистки процессов и устанавливает соединение с C&C-сервером для ожидания команд. ПО загружает свой код криптоджекинга в «notepad.exe», используя очистку процесса на основе ответа C&C-сервера. |
Проверить безопасность сайта