Новый бэкдор с PyBitmessage и Monero майнером ускользает от защиты

Новая вредоносная программа с использованием PyBitmessage и монеро-майнера выявлена аналитиками AhnLab

Аналитический центр безопасности AhnLab (ASEC) обнаружил сложную вредоносную программу-бэкдор, которая работает совместно с Monero coinminer, используя библиотеку PyBitmessage для обмена данными по одноранговой (P2P) сети. Такое архитектурное решение позволяет злоумышленникам скрывать вредоносную активность, обходя традиционные методы обнаружения.

Особенности и механизмы работы вредоносной программы

Использование протокола Bitmessage — криптографического протокола, обеспечивающего анонимность и децентрализацию — создаёт дополнительные трудности для систем кибербезопасности. Благодаря сквозному шифрованию и одноранговому обмену сообщениями, вредоносное ПО:

• избегает подключения по стандартным HTTP и IP протоколам;
• обеспечивает анонимизацию сообщений отправителя и получателя;
• предотвращает атаки типа «человек посередине»;
• маскирует команды C2 (Command and Control) внутри законного трафика Bitmessage, что затрудняет их обнаружение антивирусами.

Модуль PyBitmessage позволяет отправлять и получать зашифрованные сообщения, которые по своему характеру напоминают обычный веб-трафик. Такой подход значительно усложняет выявление вредоносной активности традиционными средствами обнаружения.

Структура и функционал вредоносного ПО

Вредоносная программа состоит из двух основных компонентов:

• Monero coinminer — майнер криптовалюты Monero, известной своей высокой степенью анонимности, который тайно использует ресурсы заражённой системы для добычи валюты;
• PowerShell-бэкдор, который инициализирует файл PyBitmessage для обработки входящих POST-запросов на локальном порту 8442.

Оба компонента находятся в зашифрованном виде внутри ресурса исполняемого файла. После запуска происходит их извлечение и расшифровка с помощью операции исключения (XOR). Далее вредоносный модуль PyBitmessage, созданный с помощью PyInstaller, генерирует различные файлы в каталоге %TEMP%_MEI~~ и выполняет их, включительно с модификацией файла QtGui4.dll. Эта модификация направлена на отключение его обычной функциональности с целью скрыть присутствие вредоносного ПО.

Методы загрузки и скрытность

Вредоносная программа пытается загрузить файл PyBitmessage с релизной страницы на GitHub. В случае неудачи загрузка осуществляется с персонального диска, размещённого на spcs.bio. Этот факт, а также язык и контекст сайта позволяют предположить потенциальную связь с российскими злоумышленниками.

Опасности и рекомендации для пользователей

Ожидая команды управления, вредоносная программа перехватывает входящие сообщения в виде PowerShell сценариев и исполняет их в соответствии с указанным путем. Использование легитимных функций стандартных приложений значительно усложняет обнаружение и отслеживание вредоносной активности.

Несмотря на то, что методы распространения пока не подтверждены, есть основания полагать, что вредоносное ПО маскируется под безопасные файлы или внедряется в взломанные версии программного обеспечения. В связи с этим экспертами настоятельно рекомендуется:

• избегать загрузки и запуска файлов из непроверенных источников;
• использовать исключительно официальные каналы распространения программного обеспечения;
• регулярно обновлять антивирусные и другие продукты кибербезопасности;
• быть внимательными к необычному поведению системы, что может сигнализировать о компрометации.

Заключение

Обнаружение данной вредоносной программы свидетельствует о росте уровня сложности современных кибератак и использовании инновационных технологий для обхода систем защиты. Протокол Bitmessage и инструменты, такие как PyBitmessage, демонстрируют, насколько важно совершенствовать методы мониторинга и анализа сетевого трафика. Постоянное изучение новых векторов атак и своевременное обновление средств защиты являются ключевыми для обеспечения информационной безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.