Security Week 10: Где Спрятать Майнера И Краткий Экскурс В Даркнет-Маркетинг

Новости 1, Новости 2



Фанаты бесплатной криптовалюты, похоже, коллективно озадачены вопросом, где спрятать майнер, чтобы его долго не нашли.

Как известно, там, где все банальное уже испробовано, открывается простор для творчества.

Так, некоторые мастера нашли источник вдохновения в прекрасном лице голливудской звезды Скарлетт Йоханссон.

Охотники за Monero вписали код майнера прямо в фотографию звезды в формате PNG. Это позволило мошенникам не только заявить о себе, но и использовать легальный фотохостинг imagehousing.com для хранения вредоносного ПО.

И при этом обманывают некоторые антивирусы.

Киберпреступники атаковали серверы баз данных PostgreSQL. Прежде чем развернуть майнинг на сервере, проницательные фанаты Йоханссона провели разведку вычислительных мощностей, чтобы нигде не майнить (точнее, там, где это невыгодно).

Убедившись в работоспособности сервера, мошенники загружали на него изображение с фотохостинга, а затем извлекали из него вредоносный код с помощью стандартной Linux-утилиты dd. Далее файлу были предоставлены полные права, и при запуске он создал настоящую программу-распаковщик.

Когда кампания была обнаружена, именно этот арт был удален с хостинга, но никто не знает, сколько еще мутных фотографий содержат тот же (или другой) код. Авторы очередного майнера Monero нашли способ удобно спрятать свое детище, можно сказать, на поверхности.

Охотники за криптовалютой решили использовать GitHub для хранения установщика.

Где еще может скрываться вредоносный код, как не среди другого кода? Для большей надежности охотники за криптовалютами создали множество форков проектов, находящихся в открытом доступе, и в каждый поместили установщик: действительно, много — не мало.

При этом они не стали оригинальными в распространении вредоносного ПО, выбрав проверенные временем поддельные обновления Adobe Flash Player. В ответ на попытку очистить GitHub от заражения преступники применили тактику Лернейской гидры: при удалении одних зараженных страниц майнер появился на других.

Как говорили великие, залог успеха – это умение идти к своей цели, несмотря на неудачи.

Черный маркетинг среди киберпреступников

С начала года зафиксировано как минимум три кампании с участием трояна Qrypter, авторы которых предпочитают сдачу своего ПО в аренду независимым атакам.

Так сказать, Malware-as-a-Service. Более того, как и остальные герои нашей подборки, они подходят к делу с душой.

Дилеры вредоносного ПО делают ставку на активный маркетинг: рекламируют свое детище, предлагают выгодные тарифы желающим его перепродать, а также обеспечивают поддержку пользователей через форум Black&White Guys. Среди преимуществ троянца, красочно описанных авторами, — удаленный контроль над зараженным устройством, включая доступ к веб-камерам, неограниченные манипуляции с файлами и программами, а также возможность управления диспетчером задач.

Кроме того, вредоносная программа отслеживает работающие на компьютере межсетевые экраны и антивирусы.

Однако рекламируя свои услуги, они не ограничились описанием достоинств «продукта».

Чтобы окончательно убедить потенциальных клиентов в эксклюзивности своей программы, умельцы наглядно демонстрируют недостатки конкурирующих решений.

И не в теории, а на практике: разработчики периодически выкладывают в даркнет взломанные версии других троянов.

Таким образом, разработчики вредоносного ПО не только распространяют свое вредоносное ПО, но и дают совершенно посторонним злоумышленникам возможность использовать разработки своих конкурентов.

Очаровательный рассадник инфекции.

Древности

Безопасно.

Зараженные файлы содержат строку «ублюдок», которая используется вирусом для различения зараженных и незараженных файлов.

Вирус «Яншорт-1961» проявляется проигрыванием мелодии «Yankee Doodle Dandy» при запуске зараженной программы.

В некоторых случаях программы, зараженные вирусом Yanshort-1624, зависают при запуске.

Отказ от ответственности: Данная колонка отражает лишь личное мнение ее автора.

Она может совпадать, а может и не совпадать с позицией «Лаборатории Касперского».

Это зависит от вашей удачи.

Теги: #информационная безопасность #Trojan #github #java #cryptominer

• Брас, Чарльз Фрэнсис

  19 Oct, 24

• Программа Лояльности

  19 Oct, 24

• Как Я Сделал Увлажнитель Воздуха На 3D-Принтере

  19 Oct, 24

• Trojan.multi.brosubsc.gen — Вызывается Касперским

  19 Oct, 24

• Как Работает Веб-Паук

  19 Oct, 24

• Быть Или Не Быть: Soft Vs Hard Skill`s

  19 Oct, 24

• Охота На Стартапы Продолжается!

  19 Oct, 24

• Простая «Умная» Автозарядка Для Мобильного Устройства

  19 Oct, 24

• Вы Уже Кодируете Html5?

  19 Oct, 24

• Yavgroupe - Сообщества Людей Со Схожими Интересами

  19 Oct, 24