Pull to refresh
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир

Security Week 10: где спрятать майнер и краткий экскурс в даркнет-маркетинг

Reading time 3 min
Views 6.9K
Новость 1, Новость 2

Любители халявной криптовалюты, кажется, дружно озадачились вопросом, куда бы спрятать майнер, чтобы его подольше не нашли. Как известно, там, где все банальное уже перепробовано, открывается простор для креатива. Так, некоторые умельцы нашли источник вдохновения в прекрасном лике голливудской звезды Скарлетт Йоханссон.

Охотники за Monero вписали код майнера прямо в фото звезды в формате PNG. Это позволило мошенникам не только самовыразиться, но и использовать для хранения зловреда легальный фотохостинг imagehousing.com. А заодно обмануть часть антивирусов.

Мишенью для атаки киберпреступники выбрали серверы баз данных PostgreSQL. Прежде чем развернуть на сервере майнинг, разборчивые поклонники Йоханссон проводили разведку вычислительных мощностей, чтобы не майнить где попало (точнее, где невыгодно).

Убедившись, что сервер годный, мошенники загружали на него картинку с фотохостинга, а затем извлекали из нее вредоносный код при помощи стандартной Linux-утилиты dd. Далее файлу выдавались полные права, и при запуске он создавал собственно программу-добытчик.

Когда кампанию обнаружили, конкретно это произведение искусства с хостинга удалили, но сколько еще мутных фотографий содержат тот же (или другой) код — никому не ведомо.

Авторы другого Monero-майнера нашли способ удобно спрятать свое детище, можно сказать, на поверхности. Для хранения инсталлятора охотники за криптовалютой решили воспользоваться GitHub. Где еще скрывать вредоносный код, если не среди другого кода?

Для большей надежности охотники за криптовалютой создали массу форков проектов, находящихся в открытом доступе, и в каждый поместили установщик: действительно, много — не мало. При этом оригинальничать в распространении зловреда они не стали, выбрав проверенные временем фальшивые обновления Adobe Flash Player.

В ответ на попытку очистить GitHub от заразы преступники применили тактику Лернейской гидры: пока одни зараженные страницы удаляли, майнер появлялся на других. Как говорили великие, залог успеха — способность идти к своей цели, невзирая на провалы.

Черный маркетинг среди киберпреступников


Новость

Но не майнерами едиными сыт киберпреступник. С начала года было зафиксировано как минимум три кампании с участием трояна Qrypter, авторы которого предпочитают самостоятельным атакам сдачу своего ПО в аренду. Так сказать, Malware-as-a-Service. Причем, как и остальные герои нашей подборки, подходят к делу с душой.

Торговцы зловредом сделали ставку на активный маркетинг: они рекламируют свое детище, предлагают выгодные тарифы желающим перепродать его и осуществляют поддержку пользователей через форум Black&White Guys.

Среди достоинств трояна, красочно расписываемых авторами, — удаленный контроль над зараженным устройством, в том числе доступ к веб-камерам, неограниченные манипуляции с файлами и программами и возможность управлять диспетчером задач. Кроме того, зловред отслеживает работающие на компьютере файрволы и антивирусы.

Впрочем, рекламируя свои услуги, они не ограничивались описаниями достоинств «продукта». Чтобы окончательно убедить потенциальных клиентов в исключительности своей программы, умельцы наглядно демонстрируют недостатки конкурирующих решений. Причем не в теории, а на практике: разработчики периодически выкладывают в даркнет взломанные версии других троянов.

Так что малварщики не только распространяют свой вредонос, но и дают возможность совершенно посторонним злоумышленникам пользоваться наработками своих конкурентов. Феерический рассадник заразы.

Древности


Семейство «Yanshort»
Вирусы семейства стандартным образом заражают EXE-файлы во всех каталогах текущего диска. Не опасны. Зараженные файлы содержат строку «motherfucker», по которой вирус различает зараженные и незараженные файлы. Вирус «Yanshort-1961» проявляется проигрыванием мелодии «Yankee Doodle Dandy» при запуске зараженной программы. При некоторых условиях программы, пораженные вирусом «Yanshort-1624», зависают при запуске.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Tags:
Hubs:
+8
Comments 0
Comments Leave a comment

Articles

Information

Website
www.kaspersky.ru
Registered
Founded
Employees
5,001–10,000 employees
Location
Россия