Эксперты: новый скрытый майнер Monero постоянно совершенствуется

Специалисты по кибербезопасности израильской компании Check Point Software Technologies обнаружили новый скрытый манер, названный KingMiner, который постоянно совершенствуется.

Авторы исследования Идо Соломон и Ади Икан (Ido Solomon & Adi Ikan) отмечают, что впервые обнаружили вредоносное ПО в середине июня этого года. За это время программа развернула две модифицированные версии, что еще более затрудняет ее обнаружение антивирусами, добавили специалисты компании.

“Атакующее ПО использует различные методы уклонения, чтобы обойти методы эмуляции и обнаружения, и в результате на нескольких поисковых движках отмечено значительное уменьшение процента обнаруженных атак”, — подчеркнули авторы исследования.


Обнаруженные модификации KingMiner. Источник: Check Point Reseаrch

Они обнаружили, что вредоносное ПО нацелено на серверы Microsoft (преимущественно IIS\SQL), где пытается подобрать пароли. Попав на машину жертвы, скрипт определяет архитектуру центрального процессора и загружает соответствующую версию вредоносного ПО. Обнаружив старые версии собственных файлов, скрипт их удаляет.

Программа настроена на использование 75% мощности процессора для скрытой добычи Monero (XMR), но на самом деле использует до 100%, отметили эксперты.

Чтобы затруднить отслеживание, KingMiner использует частный майнинг-пул, API которого также отключен. Точный ареал распространения нового вредоносного ПО исследователи назвать пока затрудняются:

“Мы еще не определили, какие домены используются, поскольку это также скрыто. Однако мы видим, что атаки в настоящее время широко распространены от Мексики до Индии, Норвегии и Израиля”.



Зафиксированные атаки KingMiner. Источник: Check Point Reseаrch

По мнению специалистов по кибербезопасности, постоянные модификации позволят вредоносному ПО быть успешным и далее, продолжая уклоняться от обнаружения и больше распространяться в 2019 году.

Напомним, что популярность Monero у кибер-злоумышленников, промышляющих скрытым майнингом, вынудила разработчиков криптовалюты создать рабочую группу по борьбе с вредоносным ПО — Malware Response Workgroup.
Источник: Anycoin