Малварь CH Miner заразила уже тысячи устройств по всему миру.

ИБ-компания Cybereason обнаружила новый троян удаленного доступа (RAT) CH Miner ориентированный на добычу криптовалют посредством скрытого майнинга, который связан с Российскими хакерами.

Напомню, что о CH Miner впервые стало известно компании Check Point в 2020 году. Тогда было заражено более 100 тысяч устройств, на какое то время активность вредоноса спала до конца 2021 года. Сама малварь написана на C# и почти не обнаруживается антивирусами на VirusTotal было 3/67.

Как теперь рассказывают аналитики Cybereason, по-видимому, используется злоумышленниками не только для майнинга, данный вредонос имеет модульную систему схожую с AsyncRat, а так же подменяет кошельки криптовалют в буфере обмена, к тому же RAT имеет многочисленные механизмы для скрытия своей активности в системе. Помимо этого вредонос обладает и другими возможностями, включая выполнение заданных команд, захват экрана и загрузку дополнительных расширений, например таких как кейлоггер. Аналитики Cybereason полагают что это продвинутый форк AsyncRat который находится в общественном доступе.

В системе жертв RAT разворачивается под уникальными именами и используется на ранних стадиях цепочки заражения майнерами, после отслеживает активность майнинга и запускает в случае не активности.

В целом CH Miner почти ничем не отличается от своих «одноклассников» и обладает многочисленными функциями, главными из которых являются: возможность собирать данные о системных файлах, выполнять команды, делать скриншоты, обеспечивать постоянное присутствие в системе, а также загружать обновления и вспомогательные модули.

«Конечная цель CH Miner финансовая, — пишут исследователи.