Распространение криптомайнеров через USB: анализ атаки в Южной Корее

Переводчик Google

Обзор​

Эксперты из AhnLab Security Intelligence Center (ASEC) обнаружили случай распространения криптомайнингового вредоносного ПО через USB-накопители в Южной Корее. На фоне роста цен на криптовалюты увеличилось количество атак с использованием майнеров, которые используют ресурсы ПК без согласия пользователя.

Хотя криптомайнинг сам по себе легален, установка программ для майнинга без разрешения, которые ухудшают производительность системы, считается незаконной. В данном случае злоумышленники распространяли майнер для Monero через USB и вносили изменения в системные настройки жертвы для оптимизации производительности и обхода систем защиты.

Характеристика атаки​

Атака включала следующие действия:

  • Добавление исключений в Windows Defender.
  • Отключение функции Hypervisor Protected Code Integrity (HVCI).
  • Изменение настроек управления питанием системы для максимальной производительности.
  • Организация командно-контрольной (C&C) связи через PostgreSQL.
  • Запуск вредоносного ПО с использованием техники DLL Sideloading для обхода обнаружения.
  • Автоматическое распространение через USB-накопители.
Злоумышленники использовали ресурсы CPU и GPU зараженных систем для майнинга, зарабатывая более 1 миллиона вон в день (примерно $840 по текущему курсу на февраль 2025 года).

Nanopool | Monero | Account

Account statistics. Check your hashrate, balance, payments.
xmr.nanopool.org xmr.nanopool.org

1739277830825.webp

Анализ​

Атака имела следующий последовательный сценарий:

  1. Запуск вредоносного файла через ярлык.
  2. Регистрация и запуск сервиса для выполнения загрузчика.
  3. Изменение системных настроек для оптимизации майнинга.
  4. Организация C&C связи через PostgreSQL.
  5. Загрузка и запуск майнера.
  6. Распространение вредоносного ПО через USB.

Иллюстрация процесса атаки​

1739277884068.webp



Заключение​

Обнаруженное вредоносное ПО демонстрирует множество техник для обеспечения устойчивости и обхода защиты:

  • Использование C&C связи через PostgreSQL.
  • Запуск через DLL Sideloading.
  • Добавление исключений в Windows Defender.
  • Отключение гибернации для оптимизации майнинговых процессов.
Значительное распространение через USB позволило злоумышленникам заражать большое количество систем и использовать их ресурсы для непрерывного получения прибыли.

Рекомендации​

Для защиты от подобных атак пользователям рекомендуется:
  • Поддерживать антивирусные программы в актуальном состоянии.
  • Внимательно следить за подключением внешних накопителей.
  • Регулярно проверять настройки безопасности системы и наличие подозрительных исключений.

Технические данные (MD5-хэши)​

  • 0b9a4d59dacfe88f2046c8128275cf24
  • 0c0195c48b6b8582fa6f6373032118da
  • 101b0a40228752f533e95d0bb2371a71
  • 1ab2548e89e865f83bce578b8aff8512
  • 1c138d300c371dac1241f67a5cc496a1
Источник
 
Нажмите для раскрытия...
Войдите или зарегистрируйтесь для ответа.

Похожие темы

machito
  • Закреплено
Факторы, влияющие на скорость и распространение Wi-Fi
Ответы
4
Просмотры
20K
machito
machito
akok
  • Статья Статья
7 признаков неблагонадёжного контрагента, видимых через проверку по ИНН
Ответы
0
Просмотры
83
akok
akok
akok
  • Статья Статья
Как повысить узнаваемость вашего бренда через Телеграм
Ответы
0
Просмотры
138
akok
akok
Назад
Сверху Снизу