Bloomchain Research

«Лаборатория Касперского»: доля скрытого майнинга постепенно снижается

Хакеры запустили новый вирус для майнинга через компьютеры жертв

На днях Microsoft рассказала про обнаруженный компанией вирус Dexphot, который заражал компьютеры жертв и майнил на них криптовалюту. Первые упоминания о вирусе появились осенью прошлого года, пик его активности пришелся на лето этого года. От Dexphot пострадали около 80 тыс. компьютеров по всему миру. Специально для Bloomchain эксперт «Лаборатории Касперского» по криптовалютам и майнингу Алексей Маланов рассказал про Dexphot и дал советы по защите от скрытого майнинга. 

Скрытый майнинг по-прежнему популярен, однако его доля постепенно снижается. Сейчас атакам скрытого майнинга, не считая веб-майнинг, подвергается почти 300 тыс. пользователей по всему миру ежемесячно. Объяснить снижение популярности трудно, ведь для злоумышленников это удобный и проверенный способ извлечь выгоду из зараженного устройства, не привлекая лишнего внимания (как в случае с шифрованием и требованием выкупа). Вероятно, снижение курса криптовалюты сделали и майнинг не таким прибыльным. Электричество и оборудование достаются злоумышленникам бесплатно, но на поддержание вредоносного кода и его распространение у хакеров уходит немало сил и средств.

Методы заражения стандартные: как правило, они связаны с беспечностью пользователей.

Эксплуатация сетевых уязвимостей – редкий случай, потому что производители ПО относительно быстро выпускают заплатки и закрывают уязвимости. Таким образом, злоумышленникам не удается достигнуть сетевого эффекта, как это было, например, в случае с вымогателем WannaCry.

Если говорить конкретно про Dexphot, то этот вирус использует целый ряд продвинутых техник для скрытия процесса заражения и работы. Только качественное защитное решение способно обнаружить и нейтрализовать угрозу. Это бесфайловая угроза, то есть для ее обнаружения критической является поведенческая защита. скрытый майнинг

Источник: «Лаборатория Касперского»

Угроза при этом является полиморфной, а значит, крайне важно наличие технологий машинного обучения.

вредоносное ПО
Источник: «Лаборатория Касперского»

Угроза встраивается в другие чистые процессы, а для доставки использует запароленные архивы, при инсталляции используются обфусцированные скрипты, а значит необходим качественный эмулятор скриптов. Совокупность всех этих продвинутых техник нетипична для угроз, единственным функционалом которых является скрытый майнинг.

А вот что предсказуемо, так это то, что Dexphot майнит Monero – любимую злоумышленниками криптовалюту, которая защищает их от выслеживания и позволяет безнаказанно обменивать монеты на обычные деньги.