Вместе с Windows пользователи устанавливают скрытого майнера
Специалисты по кибербезопасности из Trend Micro обнаружили, что теперь хакеры устанавливают вредоносное ПО для скрытого майнинга криптовалюты вместе с инсталлятором Windows.
Скрытый майнер, под названием Coinminer, использует ряд методов обфускации. Ещё этот термин называют запутыванием кода. Это приведение исходного текста или исполняемого кода программы к виду, сохраняющему её функциональность, но затрудняющему анализ.
«Вредоносная программа поступает на компьютер жертвы как файл MSI для Windows Installer, что довольно интересно, потому что Windows Installer — это легитимное приложение, используемое для установки программного обеспечения. Использование реального компонента Windows делает его менее подозрительным и потенциально позволяет обойти определенные фильтры безопасности», — утверждают специалисты по кибербезопасности.
Также команда Trend Micro отмечает, что после установки каталог вредоносных программ содержит различные файлы для «отвода глаз». Скрипт, заложенный в программу установки, противодействует любым процессам защиты от вредоносных программ на компьютере, а также работе майнингового модуля.
У вредоносного ПО есть и встроенный механизм саморазрушения.
«Чтобы усложнить обнаружение и анализ, вредоносное ПО поставляется с механизмом саморазрушения. Оно удаляет каждый файл под установочным каталогом и удаляет любые следы установки в системе»,— говорится в отчёте.
Пока, исследователям Trend Micro не удалось связать атаку с конкретной страной. Однако они заметили интересный факт, что инсталлятор использует русский язык.
Сегодня стало известно, что в Южной Корее пять хакеров внедрили вирус для криптоджекинга более чем на 6 000 компьютерах. Группировка разослала более 30 000 email, в которых были вирусы. С октября по декабрь прошлого года преступники отправляли письма людям, которые находились в поиске работы. Составив базу адресов, киберпреступники притворялись HR-менеджерами и потенциальными работодателями.