Criptovaluta mineraria, o cryptojacking in breve, è una delle principali minacce di sicurezza informatica rivolti sia ai singoli utenti e imprese, intere reti inclusi. Secondo le statistiche, uno su tre organizzazioni è stato preso di mira da minatori criptovaluta.
Il numero di minatori criptovaluta (o cryptominers) è in aumento, con nuove infezioni di essere scoperti su base giornaliera. KingMiner è il nome della più recente tale minaccia scoperto dai ricercatori Trend Micro.
Maggiori informazioni sul KingMiner Cryptominer
KingMiner è mineraria criptovaluta Monero e si rivolge server Windows. E 'stato rilevato nel selvaggio nel centro di giugno, e subito dopo che versioni migliorate sono stati rilasciati in natura. Chi è dietro il minatore sta usando varie tecniche di evasione, che porta a ridurre significativamente i tassi di rilevamento, i ricercatori hanno detto. Inoltre, l'aumento di infezione è in costante aumento.
KingMiner specificamente obiettivi server Microsoft, IIS principalmente SQL, e cerca di indovinare le loro password utilizzando attacchi a forza bruta. Una volta ottenuto l'accesso, il malware scarica un file di Windows Scriptlet (.sct) e lo esegue sul computer della vittima. Il file sta eseguendo le seguenti operazioni:
- Il file rileva l'architettura della CPU rilevanti della macchina.
- Se esistono le versioni precedenti dei file di attacco, uccide il relativo processo di file EXE e cancella i file stessi.
- Un file ZIP payload (zip 64p.zip) viene scaricato basata sull'architettura CPU rilevata. Va notato che non è un file ZIP vero e proprio, ma piuttosto di un file XML, che consentirà di bypassare i tentativi di emulazione.
- Il payload XML include un blob Base64, che, una volta codificato, si tradurrà nel file “ZIP” destinato.
Nel caso in cui vengono rilevate le versioni precedenti dei file malware sulla macchina bersaglio, saranno cancellati dalla nuova, versione attualmente attiva. upon estrazione, KingMiner creerà una serie di nuove chiavi di registro ed eseguirà un file minatore XMRig che è specificato per Monero mineraria.
L'analisi mostra che il minatore è configurato per utilizzare 75% della capacità della CPU della macchina infetta. Tuttavia, errori di codifica saranno effettivamente rendere al 100% l'utilizzo della CPU.
Per quanto riguarda la piscina mineraria del malware, è privata e l'API è stato spento, e il portafoglio è mai stato utilizzato in piscine pubbliche minerarie. Questo rende quasi impossibile per i ricercatori per monitorare i domini che sono in uso, o per definire la quantità di monete Monero minate.
Chi è mirato? I ricercatori dicono che si può vedere che l'attacco è attualmente ampiamente diffuso, dal Messico all'India, Norvegia e Israele.
KingMiner è un esempio di evoluzione criptovaluta mineraria malware che può ignorare il rilevamento comune e sistemi di emulazione, Trend Micro dice. I ricercatori prevedono che più attacchi di questo tipo si vedranno in futuro.