Hirdetés
Hirdetés

Veszélyes kriptovaluta-bányász vírus garázdálkodik

|

Az ESET kutatói nemrégiben fedezték fel, hogy a félmillió számítógépet megfertőző Stantinko botnet mögötti kiberbűnözők Monero kriptovaluta-bányászó modult telepítenek az általuk ellenőrzött gépekre.

A Stantinko botnet működtetői - akik körülbelül félmillió számítógépet irányítanak távolból és legalább 2012 óta aktívak - elsősorban Oroszország, Ukrajna, Fehéroroszország és Kazahsztán felhasználóit célozzák, most új üzleti modellel bővítették arzenáljukat.

Hirdetés

"Miután évek óta kattintási csalásokra, fertőzött online hirdetésekre, közösségi médiás csalásokra és a hitelesítő adatok ellopására támaszkodtak, a Stantinko most elkezdte a Monero kriptovaluta bányászatát is. Vizsgálataink szerint legalább 2018 augusztusa óta telepítenek az operátorok kriptovaluta-bányász modult az általuk irányított számítógépekre" - mondta Vladislav Hrčka, az ESET kártevő elemzője.

A Stantinko kriptovaluta-bányász modulja - ezt az ESET biztonsági megoldásai Win {32,64} /CoinMiner.Stantinko néven azonosítja - az xmr-stak nyílt forráskódú kriptovaluta-bányász erősen módosított változata. A modul leginkább figyelemre méltó tulajdonsága, hogy az elemzés és az észlelés elkerülése érdekében a készítők igyekeznek megtéveszteni a szakembereket. "A véletlenszerűséggel kombinált forrásszintű kód összezavarás (obfuszkáció), és a tény, hogy a Stantinko operátorai minden új áldozathoz külön hozzáigazítják a modulokat, teljesen egyedivé teszi ezek mintáját" - tette hozzá a szakember.

A megtévesztés mellett a CoinMiner.Stantinko további érdekes trükköket is alkalmaz: a kommunikáció elrejtésének érdekében a modul nem közvetlenül kommunikál a bányászhálózatokkal, hanem proxykon keresztül, amelyek IP-címe a YouTube-videók leírásaiból származik. Az ESET tájékoztatta a YouTube-ot a visszaélésről, akik a jelzés után az összes ilyen csatornát eltávolították. 

A hatékony rejtőzködés érdekében a CoinMiner.Stantinko felfüggeszti a kriptovaluta-bányász funkciót, ha a számítógép akkumulátorról működik, vagy ha a feladatkezelő futását észlelik. Ezenkívül a program azt is ellenőrzi, hogy a számítógépen működnek-e más kriptovaluta-bányász alkalmazások, és amennyiben igen, akkor felfüggeszti azok működését. A CoinMiner.Stantinko a gépen futó folyamatokat is átvizsgálja, hogy azonosítsa az azon futó biztonsági szoftvereket.

"Noha a CoinMiner.Stantinko messze nem a legveszélyesebb kártevő, de az enyhén szólva is bosszantó, ha a számítógépünket a tudtunk nélkül bűnözők használják pénzszerzésre. Ijesztő a tény, hogy a Stantinko bármikor, bármilyen más kártevő programot is telepíthet az áldozatok számítógépeire" - figyelmeztet Vladislav Hrčka.

Hirdetés
Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.