Вирусы для скрытой добычи криптовалют эволюционировали - теперь вредоносы могут закрывать другие майнинговые программы, захватывая все мощности компьютера, сообщает Bleeping Computer.
Исследователи обнаружили первый майнер криптовалют, содержащий функцию “kill list”, “убивающую” процессы других майнеров в попытке захватить все мощности компьютера. Об этом пишет Bleeping Computer.
Зловредное ПО было обнаружено исследователем Ксавье Мертенсом из компании ICS Sans. Помимо функции “kill list”, “убивающей” процессы других майнинг-программ, вирус ничем не отличается от множества существующих скриптов для криптоджекинга, получивших распространение в этом году.
На сегодняшний день существует множество вирусов для скрытого майнинга криптовалют. Поэтому велика вероятность, что ко многим уже попал вредонос, который, маскируясь под безвредные системные процессы, тихо добывает биткоины.
Автор модифицированного вируса решил, что теперь всё решит естественный отбор и составил список наиболее часто используемых системных процессов, под которыми прячутся вирусы-конкуренты. Далее троян проверяет работающие процессы и в случае обнаружения названий из списка останавливает их.
По мнению Мертенса, эксперты в области кибербезопасности могут использовать проделанную автором вируса работу для обнаружения инфицированных компьютеров. Стоит заметить, что это не первый троян, содержащий функцию “kill list”, однако ни один них не был предназначен для майнинга криптовалют.
По данным исследования крупнейшей компании по кибербезопасности Symantec Threat Intelligence, с октября 2017 года по январь 2018 года налюдается резкий рост хакерских атак на компьютеры пользователей, с целью криптоджекинга. Наиболее активно хакеры действовали в Великобритании, где рост атак составил 1200%, в США, Японии, Франции, Германии.
Одной из жертв стал американский производитель электромобилей Tesla, — хакеры внедрили майнер через облачный сервис компании. Также хакеры атаковали сайты британских правительственных организаций, среди которых Информационная канцелярия (Information Commissioner's Office, ICO), Национальная служба здравоохранения Шотландии (Scottish NHS) и "Компания студенческих займов" (Student Loans Company).
Сайты были заражены скриптом Coinhive, который, встроившись в код пораженного сайта, использовал вычислительные мощности компьютеров его посетителей для майнинга криптовалюты Monero. Посетители взломанных хакерами сайтов были предупреждены своими антивирусными обеспечениями об опасности, однако многие подобное предупреждение проигнорировали. Компьютеры пользователей заражению вирусом не поддались, единственным неудобством для них стала замедленная работа.
Всего хакеры заразили вирусом 4700 сайтов, среди которых оказалось несколько частных: Служба медицинского обслуживания Virgin (Virgin Care), а также UK Power Networks.
Разработчики антивируса Malwarebytes обратили внимание на то, что участились кибератаки, направленные на пользователей мобильных устройств на базе Android с использованием скрипта для майнинга криптовалюты Monero Coinhive. Для того чтобы скрипт проработал на смартфоне жертвы подольше, злоумышленники используют капчу, где надо ввести буквенно-цифровой код.
По этой схеме мошенники действуют с ноября прошлого года. На страницы со зловредным кодом они привлекают пользователей, размещая свои рекламные объявления на других сайтах в сети. Исследователи обнаружили 5 доменов, используемых в кампании, на каждом из которых размещена одна и та же страница с одинаковой капчей. По их оценкам, все пять страниц в среднем посещает 800 тыс. пользователей в день, находясь на них по 4 минуты.
Пользователям предлагается ввести капчу, что иногда бывает сделать непросто. Этой особенностью и пользуются злоумышленники, загружая процессоры своих жертв на 100% для майнинга Monero. Примечательно, что решение капчи не дает желаемого результата: пользователи просто переадресовываются на главную страницу Google.
"Сложно сказать, сколько криптовалюты смогли добыть организаторы, не зная наверняка, сколько всего доменов (и трафика) они имеют, - пояснили в компании. - Из-за низкого хеш-рейта и ограниченного времени пребывания на страницах мы предполагаем, что вся схема может приносить всего несколько тысяч долларов в месяц".