Компания по кибербезопасности Darktrace выявила новую кампанию криптовзлома, предназначенную для обхода Windows Defender и развертывания программного обеспечения для майнинга криптовалюты.
Резюме
Darktrace выявила кампанию криптовзлома, нацеленную на системы Windows.
Кампания включает в себя скрытное развертывание NBminer для майнинга криптовалюты.
Кампания по криптовзлому, впервые выявленная в конце июля, включает многоступенчатую цепь инфицирования, которая тихо захватывает вычислительные мощности компьютера для майнинга криптовалюты, объяснили исследователи Darktrace Кеанна Грелиха и Тара Гулд в отчете, представленном crypto.news.
Согласно исследователям, кампания специально нацелена на системы, основанные на Windows, используя PowerShell, встроенную командную оболочку и язык сценариев Microsoft, с помощью которого злоумышленники могут выполнять вредоносные скрипты и получать привилегированный доступ к хост-системе.
Эти вредоносные скрипты предназначены для работы непосредственно в системной памяти (RAM) и, как результат, традиционные антивирусные инструменты, которые обычно полагаются на сканирование файлов на жестких дисках системы, не могут обнаружить вредоносный процесс.
В дальнейшем злоумышленники используют язык программирования AutoIt, который является инструментом Windows, обычно используемым ИТ-специалистами для автоматизации задач, чтобы внедрить вредоносный загрузчик в легитимный процесс Windows, который затем загружает и выполняет программу майнинга криптовалюты, не оставляя очевидных следов в системе.
В качестве дополнительной линии защиты загрузчик запрограммирован на выполнение серии проверок окружения, таких как сканирование на наличие признаков песочницы и проверка хоста на наличие установленных антивирусных продуктов.
Исполнение происходит только в том случае, если Windows Defender является единственной активной защитой. Кроме того, если зараженная учетная запись пользователя не имеет административных привилегий, программа пытается обойти контроль учетных записей пользователя для получения повышенного доступа.
Когда эти условия выполняются, программа загружает и запускает NBMiner, хорошо известный инструмент для майнинга криптовалюты, который использует графический процессор компьютера для майнинга таких криптовалют, как Ravencoin (RVN) и Monero (XMR).
В данном случае Darktrace смогла локализовать атаку, используя свою систему Автономного Ответа, «предотвратив устройство от установления исходящих соединений и заблокировав конкретные соединения с подозрительными конечными точками.»
«Поскольку криптовалюта продолжает набирать популярность, что видно из текущей высокой оценки рыночной капитализации глобального криптовалютного рынка (почти 4 триллиона долларов США на момент написания), злоумышленники будут продолжать рассматривать майнинг криптовалюты как прибыльное предприятие», - написали исследователи Darktrace.
Кампании криптовзлома через социальную инженерию
В июле Darktrace выявила отдельную кампанию, в которой злонамеренные лица использовали сложные тактики социального инженерии, такие как выдача себя за реальные компании, чтобы обмануть пользователей и заставить их скачать измененное программное обеспечение, которое разворачивает майнинг криптовалюты.
В отличие от упомянутой схемы криптовзлома, этот подход нацеливался как на системы Windows, так и на macOS и осуществлялся самими жертвами, которые считали, что взаимодействуют с сотрудниками компании.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Darktrace сообщает о новой кампании по криптовзлому, способной обойти Windows Defender
Компания по кибербезопасности Darktrace выявила новую кампанию криптовзлома, предназначенную для обхода Windows Defender и развертывания программного обеспечения для майнинга криптовалюты.
Резюме
Кампания по криптовзлому, впервые выявленная в конце июля, включает многоступенчатую цепь инфицирования, которая тихо захватывает вычислительные мощности компьютера для майнинга криптовалюты, объяснили исследователи Darktrace Кеанна Грелиха и Тара Гулд в отчете, представленном crypto.news.
Согласно исследователям, кампания специально нацелена на системы, основанные на Windows, используя PowerShell, встроенную командную оболочку и язык сценариев Microsoft, с помощью которого злоумышленники могут выполнять вредоносные скрипты и получать привилегированный доступ к хост-системе.
Эти вредоносные скрипты предназначены для работы непосредственно в системной памяти (RAM) и, как результат, традиционные антивирусные инструменты, которые обычно полагаются на сканирование файлов на жестких дисках системы, не могут обнаружить вредоносный процесс.
В дальнейшем злоумышленники используют язык программирования AutoIt, который является инструментом Windows, обычно используемым ИТ-специалистами для автоматизации задач, чтобы внедрить вредоносный загрузчик в легитимный процесс Windows, который затем загружает и выполняет программу майнинга криптовалюты, не оставляя очевидных следов в системе.
В качестве дополнительной линии защиты загрузчик запрограммирован на выполнение серии проверок окружения, таких как сканирование на наличие признаков песочницы и проверка хоста на наличие установленных антивирусных продуктов.
Исполнение происходит только в том случае, если Windows Defender является единственной активной защитой. Кроме того, если зараженная учетная запись пользователя не имеет административных привилегий, программа пытается обойти контроль учетных записей пользователя для получения повышенного доступа.
Когда эти условия выполняются, программа загружает и запускает NBMiner, хорошо известный инструмент для майнинга криптовалюты, который использует графический процессор компьютера для майнинга таких криптовалют, как Ravencoin (RVN) и Monero (XMR).
В данном случае Darktrace смогла локализовать атаку, используя свою систему Автономного Ответа, «предотвратив устройство от установления исходящих соединений и заблокировав конкретные соединения с подозрительными конечными точками.»
«Поскольку криптовалюта продолжает набирать популярность, что видно из текущей высокой оценки рыночной капитализации глобального криптовалютного рынка (почти 4 триллиона долларов США на момент написания), злоумышленники будут продолжать рассматривать майнинг криптовалюты как прибыльное предприятие», - написали исследователи Darktrace.
Кампании криптовзлома через социальную инженерию
В июле Darktrace выявила отдельную кампанию, в которой злонамеренные лица использовали сложные тактики социального инженерии, такие как выдача себя за реальные компании, чтобы обмануть пользователей и заставить их скачать измененное программное обеспечение, которое разворачивает майнинг криптовалюты.
В отличие от упомянутой схемы криптовзлома, этот подход нацеливался как на системы Windows, так и на macOS и осуществлялся самими жертвами, которые считали, что взаимодействуют с сотрудниками компании.