Хакеры адаптируют старые вирусы к хищению и майнингу криптовалют

Москва, 16:48, 10 Сен 2018, редакция FTimes.ru, автор Сергей Кузнецов.

Специалисты по кибербезопасности в Fortinet и Kaspersky обнаружили новые вредоносные программы, касающиеся криптовалют, которые были разработаны с использованием обновленных версий уже известного программного обеспечения.

 

Нашествие cryptojacking

 

Наблюдается агрессивный всплеск вредоносного ПО для криптовалют, которое позволяет хакерам внедрять код на веб-сайт, который запускает майнинг криптовалют, не сообщая пользователю. Эта практика обычно называется «cryptojacking».

Протокол Monero Mining CoinHive был первым программным обеспечением такого рода, когда он был запущен в сентябре 2017 года. Код был разработан с целью предоставления владельцам веб-сайтов альтернативного инструмента монетизации, который мог бы заменить рекламу. Тем не менее, протокол CoinHive почти сразу был применен хакерами, которые внедрили этот код на максимально возможное количество веб-сайтов, чтобы получить незаконную прибыль в цифровой валюте Monero (XMR).

Хакеры внедрили код CoinHive даже в рекламные ролики YouTube, чтобы зарабатывать деньги у пользователей, пока они смотрели видео на популярной потоковой платформе Google.

Поскольку CoinHive — это протокол с открытым исходным кодом, также появились новые итерации программного обеспечения для криптовалют, которые могут быть классифицированы только как вредоносные программы.

 

Старые вирусы, новые трюки

Исследователи из Fortinet и Kaspersky обнаружили, что хакеры начали использовать старые программы и модернизировать их, чтобы либо украсть криптовалюты у своих жертв с помощью зараженного компьютера.

Эксперты по кибербезопасности Kaspersky Егор Василенко и Орхан Мамедов в блоге объяснили, как троянец, который существует с 2013 года, теперь решает, следует ли запускать майнинг криптовалюты на этом компьютере или нет:

«Решение загрузить криптор или майнер зависит от наличия папки % AppData% \ Bitcoin. Если папка существует, загрузчик решает загрузить криптор. Если папка не существует, и на машине имеется более двух логических процессоров, программа будет загружена. Если нет папки и только один логический процессор, загрузчик переходит к своему компоненту червя».

Другими словами, если жертва имеет папку Bitcoin, вредоносное ПО попросит оплатить выкуп в биткоине для дешифрования файлов на компьютере. Если у жертвы нет этой папки, но машина достаточно мощная, чтобы ее можно было использовать для майнинга, программа будет развертывать инструмент, который запускает майнинг Monero. Кроме того, вредоносное ПО попытается получить доступ к другим компьютерам в сети.

Также старая вредоносная программа под названием Jigsaw, впервые появившаяся в 2016 году, теперь была переделана, чтобы украсть криптовалюту.

В блоге Евгений Ананин и Артем Семенченко подробно описывают, как новое вредоносное ПО крадет цифровые валюты, позволяя хакерам копировать и вставлять свой собственный адрес в команды браузеру почти незаметным образом, когда пользователь производит платеж. Это вредоносное ПО относится к категории «вредоносных программ для подмены буфера обмена».

По словам Ананина и Семенченко, этот криптовалютный вредоносный код работает следующим образом:

 

«Он заменит адрес биткоина на адрес злоумышленника, тем самым отправив деньги другому кошельку. Можно было бы подумать, что при копировании человек будет ясно видеть замену адресов. Однако это вредоносное ПО имеет интересную особенность — оно ловко заменяет законный адрес на поддельный, имеющий похожие (или одинаковые) символы в начале и в конце строки».

С помощью этой программы хакерам удалось заработать чуть более восьми BTC стоимостью около 60 000 долларов на то время. Однако этот новый криптовалютный клон «Jigsaw» был не единственным новым вирусом-заменителем буфера обмена, обнаруженным исследователями. Одним из них является «BTC Stealer».

Более того, вредоносная программа WannaCry, которая вызвала панику в мае 2017 года, когда она заразила более 200 000 компьютеров, как сообщается, была перепрофилирована для криптовалют.

Новое вредоносное ПО, получившее название «WannaMine», использует то же программное обеспечение, что и WannaCry, но вместо этого развертывает его для захвата вычислительной мощности своих жертв, чтобы майнить Monero.

Эта тенденция показывает, что киберпреступники находят новые способы получить криптовалюту. Это также идеальные жертвы для хакеров, поскольку транзакции с криптовалютами не могут быть отменены. Поэтому любой, кто держит криптовалюты, должен обеспечить выполнение основных мер по обеспечению кибербезопасности, чтобы уменьшить риск стать жертвой киберпреступников.

 

Как защититься

 

Мощное вредоносное ПО по-прежнему распространяется через приложения в электронной почте. Следовательно, совет не загружать вложения и не нажимать на какие-либо ссылки в сообщениях от неизвестных отправителей, должен выступать в качестве первой линии защиты.

Кроме того, покупка антивирусного программного обеспечения и программного обеспечения для обнаружения вредоносных программ, таких как Avast и Malware Bytes, будет предупреждать пользователей, когда они посещают веб-сайты со встроенными крипторесурсами, а также получают вложения, которые могут содержать вредоносное программное обеспечение.

Добавление блокировщика майнинга криптовалюты в качестве расширения в вашем браузере может стать дополнительным защитным действием.

Отказ от посещения нежелательных веб-сайтов и загрузки нелицензионного ПО, также поможет избежать заражения криптовалютными вредоносными программами вашего ПК.

Кроме того, вы должны регулярно контролировать использование вашего ЦП. Если наблюдается сильный и длительный всплеск, возможно, вы заразились вредоносным программным обеспечением для майнинга криптовалют.

Наконец, вы должны обновить свой компьютер всеми необходимыми обновлениями, поскольку они будут включать исправления уязвимостей, которые могут пытаться использовать хакеры.