Новый троян-майнер под видом пиратского софта осел на 40 тыс. компьютеров

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.877
Репутация
11.595
Реакции
61.773
RUB
50
В «Доктор Веб» проанализировали нового трояна-майнера, которого активно раздают в Telegram и на некоторых сайтах вместе с пиратским софтом.


Авторам одной из таких кампаний за полтора месяца удалось заразить более 40 тыс. компьютеров Windows. Основными источниками инфекции, по данным экспертов, являются собравший более 5000 подписчиков телеграм-канал t[.]me/files_f , а также сайты itmen[.]software и soft[.]sibnet[.]ru. Вредонос может раздаваться в связке с кейгенами либо репаками различных программ, таких как Яндекс.Браузер, антивирус Sophos, инструменты Adobe.

mainer_v_piratskom_po_news.png


Защитные решения ИБ-компании детектируют новобранца как Trojan.BtcMine.3767 (загрузчик) и Trojan.BtcMine.2742 (криптомайнер). Первый представляет собой Windows-зловреда, написанного на С++.

После запуска вредоносный загрузчик копирует себя в папку %ProgramFiles%\google\chrome\ под именем updater.exe и создает запланированное задание на автозагрузку. Он также добавляет себя в список исключений Microsoft Defender и принимает меры для бесперебойной работы компьютера. После инициализации в процесс explorer.exe внедряется пейлоад — майнер Trojan.BtcMine.2742.

С помощью загрузчика авторы атаки также могут установить руткит (бесфайловый r77), запретить обновление Windows, заблокировать доступ к сайтам по выбору, приостановить добычу крипты, удалить или восстановить троянские файлы в системе.

image1mainer_v_piratskom_po.jpeg



 
  • Теги
    telegram доктор веб троян-майнер
  • Сверху Снизу