Trend Micro: антивіруси безсилі проти програмного забезпечення для видобутку криптовалют, прихованого в процесах на ПК
Trend Micro: антивіруси безсилі проти ПЗ для видобутку криптовалют, прихованого у процесах на ПК
Дослідники кібербезпеки Trend Micro задокументували використання технології, що дозволяє приховувати наявність шкідливих програм у заражених системах. Хакери розробили нову тактику атаки і використовували методику «затоплення процесів» (халовінгу), щоб сховати для майнінгу. Антивіруси безсилі перед новою тактикою.
Дослідники Trend Micro заявили, що протягом листопада 2019 року хакери провели організовану кампанію з використанням шкідливого ПЗ, використовуючи незвичайний компонент-дроппер зі шкідливим ПЗ у різних країнах, включаючи Кувейт, Тайланд, Індію, Пакистан.
Файл, впроваджений у ПК жертви, діє як засіб видалення шкідливих програм як і архів, але сам собою є шкідливим. Цей архів містить основний файл і програмне забезпечення для майнінгу криптовалют, але робить їх неактивними, що дозволяє обійти захисні перевірки.
Компоненту-дроперу потрібен певний набір кодів командного рядка для запуску шкідливого програмного забезпечення. За словами дослідників, після виконання команди файл «не залишає жодних слідів шкідливого впливу, які б дозволили виявити чи проаналізувати його». Ця техніка широко відома як процес халловінгу.
Щоб уникнути сканування антивірусами, шкідливий код прихований у каталозі без розширення. Зловмисники можуть запускати шкідливе програмне забезпечення, використовуючи певні коди, завдяки чому шкідливе програмне забезпечення розпаковується через дочірній процес і в систему вводиться майнер криптовалюти XMRig Monero. Таким чином починається видобуток криптовалюти у фоновому режимі, а виручені кошти вирушають на електронний гаманець, що контролюється зловмисниками