La tendance dangereuse de créer de nouvelles façons d'infecter les ordinateurs clients a conduit au développement de WaterMiner - un mineur malware évasive Monero. Une sécurité détaillée révèle comment ce logiciel malveillant profite de la faiblesse de la sécurité et profite sur des milliers d'ordinateurs en ligne pour générer des revenus dans la monnaie numérique Monero.
Le WaterMiner Monero Miner Révélé
Des chercheurs en sécurité ont découvert un nouveau malware mineur qui est activement distribué sur Internet à l'échelle mondiale. Son nom est désigné comme WaterMiner Monero Miner, de son nom ordinateur utilise peut deviner qu'il est désigné pour “mien” le Monero en utilisant les crypto-monnaie ressources disponibles des machines compromises. Les rapports indiquent que ce type de menaces informatiques deviennent très populaires et peut tourner très bien dans une catégorie distincte dès qu'ils se développent plus.
Le logiciel malveillant a été détecté dans la campagne malveillante qui distribue le virus en utilisant le jeu modifié “mods” qui sont fréquemment utilisés par les jeux informatiques pour tricher jeux ou de modifier leurs personnages avec des statistiques inhabituelles. Le site de la victime qui a commencé les infections WaterMiner. L'apparition d'attaques liées à la menace était due à un mod pour le populaire Grand Theft jeux vidéo automatique émis posté sur un forum russophone appelé “melon d'eau” qui se traduit par “pastèque” en russe.
Les pirates informatiques distribués via des profils différents qui ne permet pas de découvrir la première source d'origine. L'une des raisons les plus importantes pour lesquelles le mineur WaterMiner Monero est un tel succès est parce que les fichiers de virus ont été signalés propres par un virus scan total. Il est possible que les criminels usurpés les scans de confondre les objectifs en eux-mêmes infecter. Le mod malveillant qui héberge le mineur WaterMiner Monero est hébergé sur Yandex.Disk, l'un des services populaires de partage de fichiers dans un fichier russe archive RAR.
Capacités du WaterMiner Monero Miner
Une fois que les victimes télécharger le logiciel mineur WaterMiner Monero sous sa forme archivée lorsque le fichier RAR est décompressé plusieurs fichiers sont révélés. Parmi eux est un fichier exécutable appelé “pawncc.exe” qui est un script qui conduit à l'infection WaterMiner Monero. Quand il est exécuté une séquence de commandes qui sont exécutées télécharger le logiciel malveillant à partir d'un serveur distant. Les chercheurs notent que est suivi l'ordre suivant:
- Vérification du système initial -Lorsque les victimes exécuter l'application pour la première fois, il vérifie si la machine est déjà infectée par le logiciel WaterMiner. Si elle n'a pas été trouvé un marqueur d'infection est créé dans le Registre Windows à “HKLM Software IntelPlatform” avec une valeur de “Ld566xsMp01a” mis à “Rien”.
- infection initiale - Le logiciel malveillant est téléchargé à partir d'un site contrôlé par pirate informatique à distance qui héberge le fichier de virus. Les fichiers identifiés sont hébergés sur un profil Google Drive partagé. Lorsque le fichier est téléchargé le marqueur d'infection est renommé “chargé” et le mineur est exécuté sur l'ordinateur compromis.
- WaterMiner exécution - Le processus malveillant est exécuté sous le nom “Intel (R) sécurité Assistent.exe”, mais ne procédera pas si l'ensemble du marché n'est pas spécifié comme “chargé”. Cela signifie que d'un simple Killswitch peut être créé qui désactive le mécanisme de modification du Registre Windows.
Au cours de l'enquête, les chercheurs ont découvert plusieurs indicateurs uniques dans la façon dont le virus est créé. Il leur a permis de retracer le code source d'une version antérieure affichée sur une instance Pastebin. Les commentaires de l'auteur trouvés mettent en valeur là que les logiciels malveillants WaterMiner est fait intentionnellement pour infecter les systèmes cibles et utiliser leurs ressources pour exploiter le Monero et générer des crypto-monnaie des revenus pour les opérateurs.
De plus d'enquête sur le WaterMiner Monero Miner
Le code source découverte a conduit à une analyse détaillée des résultats finaux destinés. Les commentaires sont écrits en russe et (Heureusement) elles ont conduit à des idées intéressantes sur la façon dont le WaterMiner est exécuté.
Lorsque l'instance est exécutée et a commencé sur les ordinateurs clients un total de 11 les fichiers miniers sont chargés dans un dossier temporaire. Une installation persistante est ensuite réalisée en utilisant une combinaison de paramètres différents système modifications. Cela rend effectivement la suppression manuelle impossible que le malware est capable de suivre en permanence les actions de l'utilisateur ou des programmes anti-virus. Pour supprimer ces infections les victimes devraient avoir recours à une solution anti-spyware qualité. Le mineur WaterMiner Monero est destiné à être téléchargé qu'une seule fois pour se cacher de l'analyse de la reconnaissance des formes et d'autres mesures de sécurité.
En outre, les experts de la sécurité ont pu suivre le code à la section TO-DO qui énumère les futures mises à jour possibles au moteur de base. Les pirates derrière le mineur Monero l'intention de regrouper un module de sauvegarde dans le logiciel malveillant. Cela permettra au programme de se sécuriser automatiquement contre le retrait partiel, accès non autorisé ou modification. Une autre mise à jour future peut apporter un mécanisme de persistance améliorée en utilisant le Planificateur de tâches.
L'exemple présenté est une instance préalable du malware WaterMiner Monero qui dispose d'une tactique d'infection similaire à la version contemporaine, à savoir de la manière que le processus est enregistré dans un fichier temporaire appelé “Intel(R) sécurité Assistent.exe”. Il est installé comme une infection persistante par une valeur de Registre de jeu déguisé en “Oracle Corporation” application.
WaterMiner Monero opérations Miner
Le mineur WaterMiner Monero se connecte à un pool prédéfini en ayant des instructions spécifiques dans son fichier de configuration. Un pool d'extraction est un noeud central qui prend un bloc de Monero et elle distribue aux pairs connectés pour le traitement. Lorsqu'un certain nombre d'actions sont retournées et vérifiées par la piscine une récompense sous forme de Monero est câblé à crypto-monnaie l'adresse de portefeuille désigné. Dans le cas de l'instance malicieuse, c'est l'adresse exploité par les criminels.
Les souches capturées ont été trouvées pour se connecter à Minergate qui est l'une des options les plus populaires que les utilisateurs considèrent. Les rapports précédents que c'est l'une des piscines qui sont largement utilisés par les réseaux de zombies et piraté les ordinateurs. Le logiciel de mineur réelle WaterMiner Monero est une verson modifiée du logiciel XMRig open-source largement utilisée.
En soi, ce n'est pas un malware mais son installation sans le consentement de l'utilisateur est identifié comme un risque majeur pour la sécurité. Les anciennes versions du virus ont été trouvés WaterMiner utiliser un autre mineur de Nice appelé Hash. Le passage à XMRig est probablement parce que le logiciel nécessite plus d'une douzaine de dossiers différents pour fonctionner correctement sur les machines compromises.
Les mineurs se comptent sur les ressources système disponibles pour effectuer des calculs complexes en utilisant le processeur ou les cartes graphiques. L'un des signes les plus évidents d'infection est grave dégradation des performances. Certains des échantillons capturés enquête sur défendre contre les raisons possibles en recherchant en permanence le système pour une fenêtre ouverte qui est nommé d'après l'un des noms suivants ou contient une chaîne connexe: Gestionnaire des tâches Windows, Gestionnaire des tâches, Anti-virus, Process Hacker. Les commandes intégrées mettent en valeur que les chaînes sont entrées en russe et en anglais.
Si l'une des applications mentionnées ci-dessus sont détectés, ils sont soit fermés ou le processus d'extraction est interrompue. Ceci est une fonctionnalité de protection furtif qui tente de masquer la présence d'une infection des victimes.
Qui est derrière le WaterMiner Monero Miner
L'un des aspects intéressants liés au malware est WaterMiiner ses créateurs. Les chercheurs en sécurité ont tenté d'identifier le pirate ou collective criminelle derrière le virus. L'enquête a commencé avec le suivi des postes et des activités des profils forum qui distribuaient les mods de jeu GTA infectés. La personne (ou des personnes) derrière le compte appelé “Martin Opc0d3r” ont été croisées avec d'autres conseils Internet. Les rapports mettent en valeur qu'au moment de la distribution est liée uniquement à la communauté de jeu trouvé sur ce site.
L'un des échantillons WaterMiner inclus les adresses codées en dur qui hébergent les instances de virus sur URLS presque identiques hébergés sur des serveurs web russes. Il est possible qu'ils sont générés automatiquement par un script ou un programme automatisé. D'autres échantillons ont été trouvés sur plusieurs domaines suivants un algorithme partagé.
Certains des liens identifiés par les chercheurs ne sont plus accessibles. Au cours des enquêtes les experts notent que les souches similaires ont été trouvés. Il est probable que ce sont des versions personnalisées du mineur WaterMiner Monero. Un extrait de code Pastebin associé au profil de pirate informatique suggère que certaines des archives qui portent le même nom ou similaire sont des instances de Troie réels et non le mineur lui-même les logiciels malveillants.
L'enquête poursuit en outre en analysant le comportement, la fréquence des messages, liens et d'autres activités du profil associé aux attaquants, les chercheurs notent que le cybercriminel est connu à l'aide de différents sites et réseaux. Cependant l'un des profils sur le réseau social russe VK Une autre identité appelée Anton a été utilisé.
Au cours d'une discussion avec un autre utilisateur l'homme sous le nom d'Anton admis être l'homme derrière l'identité malveillante. Lorsque les informations ont été recoupées par les enquêteurs, ils ont pu confirmer en partie que cette personne est le hacker responsable du mineur Monero.
infections actives du mineur WaterMiner Monero peuvent être retirés à l'aide d'une solution anti-spyware qualité. instances trouvées peuvent être efficacement éliminés par seulement quelques clics de souris.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: