Myntgrävare

Cyberbrottslingar letar alltid efter nya sätt att tjäna pengar. Med uppkomsten av digitala valutor, även kända som kryptovalutor, ser brottslingar en unik möjlighet att infiltrera en organisation och i hemlighet bryta för mynt genom att konfigurera om skadlig kod.

Så här fungerar myntgrävare

Många infektioner börjar med:

  • E-postmeddelanden med bifogade filer som försöker installera skadlig kod.

  • Webbplatser som är värdar för sårbarhetskit som försöker använda sårbarheter i webbläsare och annan programvara för att installera myntgrävare.

  • Webbplatser som drar nytta av datorbearbetningskraft genom att köra skript medan användarna bläddrar på webbplatsen.

Gruvdrift är en process för att köra komplexa matematiska beräkningar som krävs för att underhålla blockkedjeregistret. Den här processen genererar mynt men kräver betydande beräkningsresurser.

Myntgrävare är inte skadliga i sig. Vissa individer och organisationer investerar i maskinvara och elkraft för legitima myntutvinningsåtgärder. Andra letar dock efter alternativa databehandlingskraftkällor och försöker hitta sin väg in i företagsnätverk. Dessa myntgrävare är inte önskade i företagsmiljöer eftersom de äter upp värdefulla databehandlingsresurser.

Cyberbrottslingar ser en möjlighet att tjäna pengar genom att köra kampanjer för skadlig kod som distribuerar, installerar och kör trojaniserade gruvarbetare på bekostnad av andras databehandlingsresurser.

Exempel

DDE-kryphål, som har varit kända för att distribuera utpressningstrojaner, levererar nu gruvarbetare.

Ett exempel på skadlig kod som identifierats som Trojan:Win32/Coinminer (SHA-256: 7213cbbb1a634d780f9bb861418eb262f58954e6e5dca09ca50c1e1324451293) installeras av Exploit:O97M/DDEDownloader.PA, ett Word-dokument som innehåller DDE-exploateringen.

Exploateringen startar en cmdlet som kör ett skadligt PowerShell-skript (Trojan:PowerShell/Maponeir.A). Den laddar ned den trojaniserade gruvarbetaren, en modifierad version av gruvarbetaren XMRig, som sedan bryter Monero-kryptovalutan.

Hur man skyddar mot myntgrävare

Aktivera identifiering av potentiellt oönskade program (PUA). Vissa myntutvinningsverktyg betraktas inte som skadlig kod men identifieras som PUA. Många program som identifieras som PUA kan påverka datorns prestanda och medarbetarnas produktivitet negativt. I företagsmiljöer kan du stoppa adware, torrentnedladdare och myntutvinning genom att aktivera PUA-identifiering.

Eftersom myntgrävare blir en populär nyttolast i många olika typer av attacker, se allmänna tips om hur du förhindrar skadlig kod.

Mer information om myntgrävare finns i blogginlägget Osynliga resurstjuvar: Det ökande hotet från kryptovalutagrävare.