Trend Micro: антивирусы бессильны против ПО для добычи криптовалют, скрытого в процессах на ПК
Trend Micro: антивирусы бессильны против ПО для добычи криптовалют, скрытого в процессах на ПК
Исследователи кибербезопасности Trend Micro задокументировали использование технологии, позволяющей скрывать наличие вредоносных программ в зараженных системах. Хакеры разработали новую тактику атаки и использовали методику «затопления процессов» (халловинга), чтобы спрятать ПО для майнинга. Антивирусы бессильны перед новой тактикой.
Исследователи Trend Micro заявили, что в течение ноября 2019 года хакеры провели организованную кампанию с использованием вредоносного ПО, используя необычный компонент-дроппер с вредоносным ПО в разных странах, включая Кувейт, Тайланд, Индию, Бангладеш, Объединенные Арабские Эмираты, Бразилию и Пакистан.
Файл, внедренный в ПК жертвы, действует как средство удаления вредоносных программ и как архив, но сам по себе не является вредоносным. Этот архив содержит основной исполняемый файл и программное обеспечение для майнинга криптовалют, но делает их неактивными, что позволяет обойти защитные проверки.
Компоненту-дропперу требуется определенный набор кодов командной строки для запуска вредоносного ПО. По словам исследователей, после выполнения команды файл «не оставляет никаких следов вредоносного воздействия, которые позволили бы обнаружить или проанализировать его». Эта техника широко известна как процесс халловинга.
Чтобы избежать сканирования антивирусами, вредоносный код скрыт в каталоге без расширения. Злоумышленники могут запускать вредоносное ПО, используя определенные коды, благодаря чему вредоносное ПО распаковывается через дочерний процесс и в систему вводится майнер криптовалюты XMRig Monero. Таким образом начинается добыча криптовалюты в фоновом режиме, а вырученные средства отправляются на контролируемый злоумышленниками электронный кошелек
