Обнаружение новой кампании криптоджекинга
Компания по кибербезопасности Darktrace обнаружила новую кампанию криптоджекинга, нацеленную на обход Windows Defender и развертывание программного обеспечения для майнинга криптовалюты. Эта кампания, впервые выявленная в конце июля, включает многоступенчатую цепочку заражения, которая незаметно захватывает вычислительную мощность компьютера для майнинга криптовалюты.
Технические детали атаки
Исследователи Darktrace, Кеанна Грелих и Тара Гулд, объяснили в отчете, представленном на crypto.news, что кампания специально нацелена на системы на базе Windows, используя PowerShell — встроенную командную оболочку и язык сценариев Microsoft. Злоумышленники могут запускать вредоносные скрипты и получать привилегированный доступ к хост-системе.
Эти скрипты выполняются непосредственно в оперативной памяти (RAM) системы, что делает их невидимыми для традиционных антивирусных инструментов, которые обычно полагаются на сканирование файлов на жестких дисках. Злоумышленники используют язык программирования AutoIt, который обычно применяется ИТ-специалистами для автоматизации задач, чтобы внедрить вредоносный загрузчик в легитимный процесс Windows.
Этот загрузчик затем загружает и выполняет программу для майнинга криптовалюты, не оставляя очевидных следов на системе. В качестве дополнительной меры защиты загрузчик запрограммирован на выполнение серии проверок окружения, таких как сканирование на наличие признаков песочницы и проверка установленных антивирусных продуктов. Выполнение продолжается только в том случае, если Windows Defender является единственной активной защитой.
Более того, если у зараженной учетной записи пользователя нет административных привилегий, программа пытается обойти контроль учетных записей пользователя для получения повышенного доступа. Когда эти условия выполнены, программа загружает и выполняет NBMiner — известный инструмент для майнинга криптовалют, который использует графический процессор компьютера для добычи таких криптовалют, как Ravencoin (RVN) и Monero (XMR).
Меры противодействия
Darktrace удалось локализовать атаку с помощью своей системы Автономного ответа, предотвратив устройство от установления исходящих соединений и заблокировав конкретные соединения с подозрительными конечными точками.
«Поскольку криптовалюта продолжает набирать популярность, как видно из высокой оценки глобальной капитализации криптовалютного рынка (почти 4 триллиона долларов США на момент написания), злоумышленники будут продолжать рассматривать криптомайнинг как прибыльное предприятие», — отметили исследователи Darktrace.
Другие кампании киберпреступников
В июле Darktrace также зафиксировала отдельную кампанию, в которой злоумышленники использовали сложные тактики социального инжиниринга, выдавая себя за реальные компании, чтобы обмануть пользователей и заставить их загрузить измененное программное обеспечение, которое развертывало вредоносное ПО для кражи криптовалюты. В отличие от вышеупомянутой схемы криптоджекинга, этот подход нацеливался как на системы Windows, так и на macOS и выполнялся самими неосведомленными жертвами, которые верили, что взаимодействуют с инсайдерами компании.
