Den farlige tendens til at skabe nye måder at inficere klientcomputere har ført til udviklingen af WaterMiner - en undvigende malware Monero minearbejder. En detaljeret sikkerhed afslører, hvordan dette ondsindet software udnytter svage sikkerhed og udnytter på tusindvis af computere online for at generere indtægter i Monero digitale valuta.
Den WaterMiner Monero Miner Revealed
Sikkerhedsforskere opdagede en ny minearbejder malware som distribueres aktivt på Internettet på verdensplan. Dens navn er udpeget som den WaterMiner Monero Miner, fra sit navn computer bruger kan gætte på, at det er udpeget til at “mine” den Monero cryptocurrency ved hjælp af de midler, som de inficerede maskiner. Rapporter viser, at denne type af computer trusler bliver meget populær og kan meget vel blive til en særskilt kategori snart de udvikle sig yderligere.
Den malware blev fundet i ondsindet kampagne, der distribuerer virus ved hjælp af modificerede gaming “mods” som ofte bruges af computerspil til at snyde spil eller ændre deres karakterer med usædvanlige statistik. Offeret hjemmeside, som startede WaterMiner infektioner. Starten af angreb er forbundet med truslen skyldtes en mod til de populære Grand Theft Auto videospil udstedt lagt ud på en russisktalende forum kaldet “vandmelon” hvilket svarer til “vandmelon” på russisk.
Hackerne fordelte det via forskellige profiler, som gør det umuligt at opdage den første oprindelige kilde. En af de væsentligste grunde til, at WaterMiner Monero minearbejder er så vellykket, skyldes, at virus filer blev rapporteret ren ved en virus Total scanning. Det er muligt, at de kriminelle misvisende scanningerne at forvirre målene i inficere sig selv. Den ondsindede mod der er vært for WaterMiner Monero minearbejder er hostet på Yandex.Disk, en af de populære russiske fildelingstjenester i en RAR arkiv fil.
Capabilities af WaterMiner Monero Miner
Når ofrene downloade WaterMiner Monero minearbejder software i sin arkiverede form, når RAR-fil er udpakkede flere filer er afsløret. Blandt dem er en eksekverbar fil kaldet “pawncc.exe” der er et script, der fører til WaterMiner Monero infektion. Når den udføres en sekvens af kommandoer køres som downloade malware fra en ekstern server. Forskerne bemærker, at følgende rækkefølge følges:
- Indledende System Check -Når ofrene kører programmet for første gang den kontrollerer, om maskinen ikke allerede er inficeret med WaterMiner software. Hvis det ikke er blevet fundet en infektion markør oprettes i Windows registreringsdatabasen på “HKLM Software IntelPlatform” med en værdi på “Ld566xsMp01a” indstillet til “Ikke noget”.
- Indledende Infektion - Den malware er hentet fra en fjern hacker-kontrollerede hjemmeside, som er vært for virus fil. De identificerede filer bliver hostet på en delt Google Drev-profil. Når filen er downloadet infektionen markøren er omdøbt til “indlæst” og minearbejder køres på kompromitteret computer.
- WaterMiner Udførelse - Den ondsindede proces drives under navnet “Intel (R) Sikkerhed Assistent.exe”, men vil ikke fortsætte, hvis den indstillede markedet ikke er specificeret som “indlæst”. Det betyder, at en simpel Killswitch kan oprettes som deaktiverer Windows-registreringsdatabasen modifikation mekanisme.
I løbet af undersøgelsen opdagede forskerne flere unikke indikatorer i den måde, virus er skabt. Det tillod dem at spore kildekoden til en tidligere version lagt ud på en Pastebin instans. Forfatteren kommentarer fundet der udstillingsvindue, at WaterMiner malware med vilje er lavet til at inficere target-systemer og bruge deres ressourcer til at udvinde den Monero cryptocurrency og generere indtægter for operatørerne.
Yderligere undersøgelser af WaterMiner Monero Miner
Den opdagede kildekode har ført til en detaljeret analyse af de forventede slutresultater. Kommentarerne er skrevet på russisk og (heldigvis) de førte til nogle interessante indsigter på den måde WaterMiner køres.
Når instans udføres og startet på klientcomputere i alt 11 mine filer er indlæst i en midlertidig mappe. En vedvarende installation opnås derefter ved anvendelse af en kombination af andet system indstillinger modifikationer. Dette gør effektivt umulig manuel fjernelse som malwaren er i stand til konstant at spore en brugers handlinger eller anti-virus programmer. For at fjerne sådanne infektioner ofrene skal bruge en kvalitet anti-spyware løsning. Den WaterMiner Monero minearbejder er beregnet til at blive downloadet én gang for at skjule sig fra anerkendelse mønster analyse og andre sikkerhedsforanstaltninger.
Desuden de sikkerhedseksperter var i stand til at følge kodeksen til TO-DO sektion som opregner fremtidige mulige opdateringer til kernen motor. Hackerne bag Monero minearbejder har til hensigt at samle en backup modul i malware. Dette vil gøre det muligt for programmet til automatisk at sikre sig mod delvis fjernelse, uautoriseret adgang eller ændring. En anden fremtidig opdatering kan bringe en forbedret vedholdenhed mekanisme ved hjælp af Opgavestyring.
Den fremvist eksempel er en tidligere forekomst af WaterMiner Monero malware som har en lignende infektion taktik til den moderne udgave, nemlig på den måde, at processen er gemt til en midlertidig fil kaldet “Intel(R) Sikkerhed Assistent.exe”. Det er installeret som en vedvarende infektion via et sæt registreringsdatabaseværdi forklædt som en “Oracle Corporation” ansøgning.
WaterMiner Monero Miner Operations
Den WaterMiner Monero minearbejder forbinder til en foruddefineret pulje ved at have specifikke anvisninger i sin konfigurationsfil. En minedrift pulje er en centraliseret knudepunkt som tager en Monero blockchain blok og distribuerer den til de tilsluttede peers til forarbejdning. Når et bestemt antal aktier er returneret og verificeret af poolen en belønning i form af Monero cryptocurrency er kabelbaseret til den angivne tegnebog adresse. I tilfældet med den ondsindede instans dette er adressen drives af de kriminelle.
De tilfangetagne stammer blev fundet at forbinde til Minergate som er en af de mest populære muligheder, som brugerne anser. Tidligere rapporter, at dette er en af de puljer, der bruges meget af botnets og hackede computere. Den faktiske WaterMiner Monero minearbejder software er en modificeret verson af det udbredte open source XMRig software.
I sig selv er dette ikke en malware dog sin installation uden brugerens samtykke er identificeret som en stor sikkerhedsrisiko. Ældre versioner af WaterMiner virus har vist sig at bruge en anden minearbejder kaldet Dejlig Hash. Skiftet til XMRig er sandsynligvis fordi den ældre software kræver et dusin forskellige filer til at køre ordentligt på de inficerede maskiner.
Minearbejderne selv er afhængige af de tilgængelige systemressourcer til at udføre komplekse beregninger ved hjælp af processoren eller grafikkort. En af de mest tydelige tegn på infektion er alvorlig forringelse af ydeevnen. Nogle af de tilfangetagne prøver forsvare sig mod undersøgelse af de mulige årsager ved løbende at søge på system til et åbent vindue, der er opkaldt efter en af følgende navne eller indeholder en beslægtet snor: Windows Jobliste, Task Manager, Anti-virus, proces Hacker. De indbyggede kommandoer fremvise, at strengene er indtastet i både russisk og engelsk.
Hvis nogen af de ovenfor nævnte anvendelser detekteres de enten lukke eller minedrift processen stoppes. Dette er en stealth beskyttelse funktion, som forsøger at skjule tilstedeværelsen smitte fra ofrene.
Hvem står bag WaterMiner Monero Miner
En af de interessante aspekter i forbindelse med WaterMiiner malware er dens skabere. De sikkerhed forskere forsøgt at identificere hacker eller kriminelle kollektiv bag virussen. Undersøgelsen startede med sporingen af stillinger og forummets aktiviteter profiler, der distribueres de inficerede GTA spil mods. Personen (eller folk) bag den konto kaldet “Martin Opc0d3r” blev krydsrefereret med andre Internet brædder. Rapporterne fremvise, at fordelingen i øjeblikket er kun bundet til gaming community findes på dette websted.
En af de WaterMiner prøverne indeholdt hardcodede adresser, som vært virus forekomster på næsten identiske webadresser hostes på russiske webservere. Det er muligt, at de genereres automatisk af et script eller et automatiseret program. Yderligere prøver blev fundet på flere domæner efter en delt algoritme.
Nogle af de links identificeret af forskere er ikke længere tilgængelig. Under efterforskningen eksperterne opmærksom på, at lignende stammer er blevet fundet. Det er sandsynligt, at de er skræddersyede versioner af WaterMiner Monero minearbejder. En Pastebin kodestykke forbundet med hacker-profil tyder på, at nogle af de arkiver, der bærer det samme eller lignende navn er faktiske trojanske forekomster og ikke malware minearbejder selv.
Da undersøgelsen fortsatte videre ved at analysere adfærden, frekvens af stillinger, links og anden aktivitet af profilen forbundet med angriberne, forskerne konstatere, at cyberkriminelle opleves ved hjælp af forskellige steder og netværk. Men en af profilerne på det russiske sociale netværk VK en anden identitet kaldet Anton er blevet anvendt.
Under en diskussion med en anden bruger manden under navnet Anton indrømmede at være manden bag ondsindede identitet. Når oplysningerne blev krydsrefereret af efterforskerne de var i stand til delvist at bekræfte, at denne person er den hacker ansvarlig for Monero minearbejder.
Aktive infektioner i WaterMiner Monero minearbejder kan fjernes ved hjælp af en kvalitet anti-spyware løsning. Fundet tilfælde kan fjernes effektivt ved kun et par museklik.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: