Programy do wykopywania monet

Cyberprzestępcy zawsze szukają nowych sposobów zarabiania pieniędzy. Wraz ze wzrostem walut cyfrowych, znanych również jako kryptowaluty, przestępcy widzą wyjątkową okazję do infiltracji organizacji i potajemnego wydobywania monet poprzez ponowną konfigurację złośliwego oprogramowania.

Jak działają górnicy monet

Wiele zakażeń zaczyna się od:

  • Wiadomości e-mail z załącznikami, które próbują zainstalować złośliwe oprogramowanie.

  • Witryny internetowe hostujące zestawy wykorzystujące luki w zabezpieczeniach, które próbują wykorzystać luki w zabezpieczeniach w przeglądarkach internetowych i innym oprogramowaniu do instalowania górników monet.

  • Witryny internetowe korzystające z mocy przetwarzania komputera przez uruchamianie skryptów podczas przeglądania witryny internetowej przez użytkowników.

Wyszukiwanie to proces uruchamiania złożonych obliczeń matematycznych niezbędnych do utrzymania rejestru łańcucha bloków. Ten proces generuje monety, ale wymaga znacznych zasobów obliczeniowych.

Górnicy monet nie są z natury złośliwi. Niektóre osoby i organizacje inwestują w sprzęt i energię elektryczną na potrzeby legalnych operacji wydobycia monet. Jednak inni szukają alternatywnych źródeł mocy obliczeniowej i próbują znaleźć drogę do sieci firmowych. Ci górnicy monet nie są poszukiwani w środowiskach przedsiębiorstwa, ponieważ pochłaniają cenne zasoby obliczeniowe.

Cyberprzestępcy widzą możliwość zarabiania pieniędzy, uruchamiając kampanie złośliwego oprogramowania, które dystrybuują, instalują i uruchamiają trojanizowanych górników kosztem zasobów obliczeniowych innych osób.

Przykłady

Luki w zabezpieczeniach DDE, o których wiadomo, że dystrybuują oprogramowanie wymuszające okup, dostarczają teraz górników.

Na przykład: próbka złośliwego oprogramowania wykrytego jako Trojan:Win32/Coinminer (SHA-256: 7213cbbb1a634d780f9bb861418eb262f58954e6e5dca09ca50c1e1324451293) jest zainstalowana przez exploit:O97M/DDEDownloader.PA, dokument programu Word zawierający exploit DDE.

Narzędzie exploit uruchamia polecenie cmdlet, które wykonuje złośliwy skrypt programu PowerShell (Trojan:PowerShell/Maponeir.A). Pobiera trojanizowanego górnika, zmodyfikowaną wersję górnika XMRig, który następnie wydobywa kryptowalutę Monero.

Jak chronić przed górnikami monet

Włącz wykrywanie potencjalnie niechcianych aplikacji (PUA). Niektóre narzędzia do wyszukiwania monet nie są uważane za złośliwe oprogramowanie, ale są wykrywane jako PUA. Wiele aplikacji wykrytych jako pua może negatywnie wpłynąć na wydajność maszyny i produktywność pracowników. W środowiskach przedsiębiorstwa można zatrzymać oprogramowanie adware, pobierające potoki i wyszukiwanie monet, włączając wykrywanie pua.

Ponieważ górnicy monet stają się popularnym ładunkiem w wielu różnych rodzajach ataków, zobacz ogólne wskazówki dotyczące zapobiegania infekcji złośliwym oprogramowaniem.

Aby uzyskać więcej informacji na temat górników monet, zobacz wpis w blogu Invisible resource thieves: The increasing threat of cryptocurrency miners (Niewidzialni złodzieje zasobów: rosnące zagrożenie ze strony górników kryptowalut).