Кібервиробнича компанія Darktrace виявила нову кампанію криптоджекінгу, що має на меті обійти Windows Defender і розгорнути програмне забезпечення для майнінгу криптовалюти.
Резюме
Darktrace виявив кампанію криптоджекінгу, яка націлена на системи Windows.
Кампанія передбачає приховане розгортання NBminer для майнінгу криптовалют.
Кампанія криптоджекінгу, вперше виявлена в кінці липня, включає багатоступеневу інфекційну ланцюг, яка тихо захоплює обчислювальну потужність комп'ютера для майнінгу криптовалюти, пояснили дослідники Darktrace Кеанна Греліча та Тара Гулд у звіті, надісланому crypto.news.
Згідно з дослідженнями, кампанія спеціально націлена на системи, що базуються на Windows, шляхом використання PowerShell, вбудованої командної оболонки та мови сценаріїв Microsoft, через яку зловмисники можуть виконувати шкідливі сценарії та отримувати привілейований доступ до хост-системи.
Ці шкідливі скрипти призначені для роботи безпосередньо в пам'яті системи (RAM) і, як наслідок, традиційні антивірусні засоби, які зазвичай покладаються на сканування файлів на жорстких дисках системи, не можуть виявити шкідливий процес.
Потім зловмисники використовують програмування AutoIt, яке є інструментом Windows, зазвичай використовуваним IT-фахівцями для автоматизації завдань, щоб ввести шкідливий завантажувач у легітимний процес Windows, який потім завантажує та виконує програму майнінгу криптовалюти, не залишаючи очевидних слідів у системі.
Як додатковий рівень захисту, завантажувач програмується для виконання серії перевірок середовища, таких як сканування на ознаки пісочниці та перевірка хоста на наявність встановлених антивірусних продуктів.
Виконання відбувається лише тоді, коли Windows Defender є єдиним активним захистом. Крім того, якщо заражений обліковий запис користувача не має адміністративних привілеїв, програма намагається обійти контроль облікових записів користувачів для отримання підвищеного доступу.
Коли ці умови виконуються, програма завантажує та виконує NBMiner, відомий інструмент для майнінгу криптовалюти, який використовує графічний процесор комп'ютера для видобутку криптовалют, таких як Ravencoin (RVN) та Monero (XMR).
У цьому випадку Darktrace змогла локалізувати атаку за допомогою своєї системи Автономної Відповіді, "запобігши пристрою здійснювати вихідні з'єднання та блокуючи специфічні з'єднання з підозрілими кінцевими точками."
“Оскільки популярність криптовалюти продовжує зростати, про що свідчить поточна висока оцінка глобальної капіталізації ринку криптовалют (майже 4 трильйони доларів США на момент написання), зловмисники продовжать розглядати майнінг криптовалюти як прибуткову справу,” написали дослідники Darktrace.
Криптоджекінг кампанії через соціальну інженерію
У липні Darktrace виявила окрему кампанію, де зловмисники використовували складні тактики соціального інженерії, такі як видавання себе за реальні компанії, щоб обманом змусити користувачів завантажувати змінену програмне забезпечення, яке розгортає шкідливе ПЗ для крадіжки криптовалюти.
На відміну від згаданої схеми криптоджекінгу, цей підхід націлювався як на системи Windows, так і на macOS, і був виконаний самими жертвами, які не підозрювали, що взаємодіють з внутрішніми працівниками компанії.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Darktrace виявляє нову кампанію криптоджекінгу, здатну обходити Windows Defender
Кібервиробнича компанія Darktrace виявила нову кампанію криптоджекінгу, що має на меті обійти Windows Defender і розгорнути програмне забезпечення для майнінгу криптовалюти.
Резюме
Кампанія криптоджекінгу, вперше виявлена в кінці липня, включає багатоступеневу інфекційну ланцюг, яка тихо захоплює обчислювальну потужність комп'ютера для майнінгу криптовалюти, пояснили дослідники Darktrace Кеанна Греліча та Тара Гулд у звіті, надісланому crypto.news.
Згідно з дослідженнями, кампанія спеціально націлена на системи, що базуються на Windows, шляхом використання PowerShell, вбудованої командної оболонки та мови сценаріїв Microsoft, через яку зловмисники можуть виконувати шкідливі сценарії та отримувати привілейований доступ до хост-системи.
Ці шкідливі скрипти призначені для роботи безпосередньо в пам'яті системи (RAM) і, як наслідок, традиційні антивірусні засоби, які зазвичай покладаються на сканування файлів на жорстких дисках системи, не можуть виявити шкідливий процес.
Потім зловмисники використовують програмування AutoIt, яке є інструментом Windows, зазвичай використовуваним IT-фахівцями для автоматизації завдань, щоб ввести шкідливий завантажувач у легітимний процес Windows, який потім завантажує та виконує програму майнінгу криптовалюти, не залишаючи очевидних слідів у системі.
Як додатковий рівень захисту, завантажувач програмується для виконання серії перевірок середовища, таких як сканування на ознаки пісочниці та перевірка хоста на наявність встановлених антивірусних продуктів.
Виконання відбувається лише тоді, коли Windows Defender є єдиним активним захистом. Крім того, якщо заражений обліковий запис користувача не має адміністративних привілеїв, програма намагається обійти контроль облікових записів користувачів для отримання підвищеного доступу.
Коли ці умови виконуються, програма завантажує та виконує NBMiner, відомий інструмент для майнінгу криптовалюти, який використовує графічний процесор комп'ютера для видобутку криптовалют, таких як Ravencoin (RVN) та Monero (XMR).
У цьому випадку Darktrace змогла локалізувати атаку за допомогою своєї системи Автономної Відповіді, "запобігши пристрою здійснювати вихідні з'єднання та блокуючи специфічні з'єднання з підозрілими кінцевими точками."
“Оскільки популярність криптовалюти продовжує зростати, про що свідчить поточна висока оцінка глобальної капіталізації ринку криптовалют (майже 4 трильйони доларів США на момент написання), зловмисники продовжать розглядати майнінг криптовалюти як прибуткову справу,” написали дослідники Darktrace.
Криптоджекінг кампанії через соціальну інженерію
У липні Darktrace виявила окрему кампанію, де зловмисники використовували складні тактики соціального інженерії, такі як видавання себе за реальні компанії, щоб обманом змусити користувачів завантажувати змінену програмне забезпечення, яке розгортає шкідливе ПЗ для крадіжки криптовалюти.
На відміну від згаданої схеми криптоджекінгу, цей підхід націлювався як на системи Windows, так і на macOS, і був виконаний самими жертвами, які не підозрювали, що взаємодіють з внутрішніми працівниками компанії.