Вирус не найден: как криптоджекеры избегают обнаружения

Методы обфускации (запутывания кода), применяемые создателями вредоносных программ для скрытого майнинга криптовалют, становятся все более изощренными. К такому выводу пришли специалисты японской компании кибербезопасности Trend Micro.

Исследователи Trend Micro нашли новый вредоносный код, в котором используется целый набор методов, помогающих избежать обнаружения. Программа для скрытого майнинга, получившая название Coinminer.Win32.MALXMR.TIAOODAM, устанавливается на компьютер жертвы вместе с  инсталлятором операционной системы Windows.

«Использование реального компонента ОС Windows не только делает вредоносное ПО менее подозрительным, но и позволяет ему обойти определенные фильтры безопасности», – говорится в отчете компании.

Согласно исследованию, проведенному специалистами по кибербезопасности, вредоносный программный продукт устанавливается в папку %AppData%\Roaming\Microsoft\Windows\Template\FileZilla (FileZilla представляет собой бесплатное приложение для скачивания и загрузки файлов в интернете). Если директории не существует, вредоносная программа создает ее самостоятельно.

Среди содержащихся в директории файлов присутствует скрипт, останавливающий работу всех запущенных антивирусных программ. После установки вредоносное ПО создает три новых процесса Service Host, некоторые из которых используются для повторной загрузки хакерской программы в случае ее блокировки:

«Первый и второй SvcHost-процессы действуют в качестве программного сторожа,   вероятно, для поддержания постоянной работы ПО. Они отвечают за повторную загрузку файла Windows Installer (.msi) через инструмент Powershell в случае прекращения работы инфицированного svchost-процесса», –  объясняют специалисты Trend Micro.

Дополнительно программа для скрытого майнинга оснащена механизмом саморазрушения, задача которого – еще больше затруднить обнаружение и анализ вредоносного кода. Это достигается через удаление всех файлов, содержащихся в директории установки, а также избавление от всех следов установки.

Процесс инсталляции обнаруженного вредоносного ПО написан на кириллице, тем не менее, страну источника атаки установить не удалось.

В последнее время мы все чаще слышим о новом виде хакерских атак – криптоджекинге (cryptojacking) или скрытом майнинге. Цель атаки заключается в том, чтобы установить на компьютер жертвы код, позволяющий киберпреступникам добывать криптовалюты без использования собственных ресурсов. По оценкам специалистов группы кибербезопасности Cyber Threat Alliance, в этом году использование криптоджекинга выросло на 459%.

В начале этого года Лаборатория Касперского заявила о снижении количества атак популярных в прошлом году вирусов-вымогателей. Очень вероятно, что снижение активности может быть обусловлено массовым переходом злоумышленников на более доходный криптоджекинг.

Источник