Скрытый майнер в пиратском ПО

Логотип компании
16.01.2024
Скрытый майнер в пиратском ПО
«В последние дни мы наблюдаем резкий рост числа случаев обнаружения троянов-майнеров в пиратском программном обеспечении, доступном в Telegram и на некоторых интернет-площадках», - сообщает компания «Доктор Веб».

В декабре 2023 года специалисты компании выявили два основных трояна-майнера:Trojan.BtcMine.3767 и связанный с ним Trojan.BtcMine.2742, которые проникали на компьютеры пользователей вместе с пиратскими дистрибутивами.

Trojan.BtcMine.3767 — это программа для операционной системы Windows, написанная на языке С++. Она является загрузчиком майнера и основана на проекте SilentCryptoMiner с открытым исходным кодом. Основными источниками инфицированного этим трояном программного обеспечения являются Telegram-канал t[.]me/files_f с более чем пятью тысячами подписчиков, а также веб-сайты itmen[.]software и soft[.]sibnet[.]ru.

Важно отметить, что для последнего использовался установщик NSIS, и после распаковки инсталляционного пакета были обнаружены пути, которые злоумышленники использовали для хранения исходных файлов трояна.

C:\bot_sibnet\Resources\softportal\exe\

C:\bot_sibnet\Resources\protect_build\miner\

По данным компании, за полтора месяца одна из кампаний по распространению данного трояна привела к заражению более 40 000 компьютеров. Однако, учитывая статистику просмотров публикаций в Telegram-канале и трафик веб-сайтов, масштаб проблемы может оказаться еще более значительным.

Скрытый майнер в пиратском программном обеспечении позволяет злоумышленникам обогащаться за счет вычислительной мощности компьютеров своих жертв. Это происходит путем использования ресурсов компьютера для добычи криптовалюты без ведома и согласия пользователя. Такие действия могут привести к значительному снижению производительности компьютера и повышенному энергопотреблению, а также могут представлять угрозу для конфиденциальности и безопасности данных пользователя.

После запуска загрузчик копирует себя в каталог %ProgramFiles%\google\chrome\ под именем updater.exe и создает задачу планировщика для обеспечения автозагрузки при запуске ОС. В целях маскировки задача имеет название GoogleUpdateTaskMachineQC. Кроме того, загрузчик прописывает свой файл в исключения антивируса Windows Defender, а также запрещает компьютеру выключаться и уходить в режим гибернации. Начальные настройки зашиты в тело трояна, в дальнейшем получение настроек выполняется с удаленного хоста. После инициализации в процесс explorer.exe внедряется полезная нагрузка — Trojan.BtcMine.2742, отвечающий за скрытую добычу криптовалюты.

Дополнительно загрузчик позволяет устанавливать на скомпрометированный компьютер бесфайловый руткит r77, запрещать обновления ОС Windows, блокировать доступ к сайтам, автоматически удалять и восстанавливать свои исходные файлы, приостанавливать процесс добычи криптовалюты, а также выгружать занимаемую майнером оперативную и видеопамять при запуске на зараженном компьютере программ для мониторинга процессов.

Изображение: Vitte Yevhen / shutterstock.com

Читайте также
Российская индустрия программного обеспечения в 2023 году показала рост на 19,4% и достигла оборота 1,983 трлн рублей, что стало возможным благодаря активной внутренней поддержке и политике импортозамещения. Опрос более 300 компаний, проведенный ассоциацией «РУССОФТ», отразил ключевые тенденции отрасли: рост внутреннего спроса, падение экспортных доходов и кадровый дефицит, а также отметил направления для дальнейшего развития и выхода на новые рынки. IT-World разбирается, каким станет российский рынок ПО в ближайшие годы и какие вызовы ему предстоит преодолеть?

Источник: drweb.ru

Похожие статьи