Киберугроза: майнеры под видом программ обхода блокировок
Источник: securelist.com
Киберпреступники все чаще прибегают к инструментам переадресации пакетов Windows для осуществления вредоносной деятельности. Их основная цель — распространение вредоносного ПО, замаскированного под легитимные программы, позволяющее обходить ограничения безопасности. В recent times, методики киберпреступников становятся все более изощренными и опасными, затрагивая множество пользователей.
Методы распространения вредоносного ПО
Важным элементом таких атак является упаковка вредоносного ПО в архивные файлы, к которым прилагаются текстовые инструкции. Эти инструкции часто предупреждают пользователей о ложных срабатываниях программного обеспечения безопасности, что позволяет вредоносным программам беспрепятственно функционировать в уязвимых системах. Наиболее распространенные формы вредоносного ПО включают:
- Похитители информации
- Средства удаленного доступа (RATs)
- Трояны для скрытого доступа
- Майнеры криптовалют
Крупномасштабная кампания по распространению майнера
Недавно была выявлена крупная вредоносная кампания, распространявшая майнер, маскирующийся под средство обхода блокировок на основе глубокой проверки пакетов (DPI). Оригинальный инструмент, доступный на GitHub, привлек значительное внимание, уступив более 10 000 баллов. Сообщается, что затронуто более 2000 пользователей в России, и эта цифра, вероятно, занижена.
Тактики киберпреступников
Переносчиком заражения стал популярный пользователь YouTube, размещавший обучающие видеоролики по обходу ограничений. В описаниях к видео содержались ссылки на вредоносные архивы, которые получили большое количество просмотров, прежде чем были изменены для отображения сообщений об ошибках. Тем не менее, они все ещё направляли пользователей на взломанный сайт, на который было загружено более 40 000 архивов.
Кроме того, злоумышленники используют тактику принуждения, включая угрозы нарушения авторских прав, чтобы заставить создателей контента размещать дополнительные видеоролики с вредоносными ссылками. Это создает серьезные риски для целостности и безопасности данных пользователей.
Технические аспекты вредоносного ПО
Вредоносные архивы содержали исполняемый файл, который запускался через PowerShell с помощью обычного сценария. Если антивирусные программы удаляли файл, сценарий предлагал отключить программное обеспечение безопасности и повторно загрузить файл для избежания обнаружения. Этот вредоносный исполняемый файл, называемый загрузчиком, представляет собой простой скрипт на Python, дополненный оболочкой, модифицированной с помощью PyInstaller. Также используются инструменты, такие как PyArmor для маскировки.
Основная цель майнера, использующего кодовую базу XMRig, — скрытый майнинг криптовалют, таких как Ethereum и Monero. Приложение маскируется под легитимную службу Windows, что усложняет его обнаружение системой безопасности.
Заключение
Использование инструментов для обхода ограничений в целях распространения вредоносного ПО создаёт значительные риски для безопасности данных пользователей. Хотя основная угроза в настоящее время связана с майнингом, она предвещает возможность более сложных атак в будущем. История указывает на необходимость тщательного анализа и защиты от подобных технологий.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
