La pericolosa tendenza di creare nuovi modi per infettare i computer client ha portato allo sviluppo di WaterMiner - un evasiva di malware Monero miner. Una sicurezza dettagliata rivela come questo software maligno sfrutta sicurezza debole e trae vantaggio su migliaia di computer on-line per generare reddito nella valuta digitale Monero.
Il WaterMiner Monero Miner Rivelato
I ricercatori della sicurezza hanno scoperto un nuovo minatore di malware che viene distribuito attivamente su Internet su scala globale. Il suo nome è designato come il WaterMiner Monero Miner, dal suo nome usi computer possono intuire che è designato a “il mio” il criptovaluta Monero utilizzando le risorse a disposizione delle macchine compromesse. I rapporti indicano che questo tipo di minacce informatiche stanno diventando molto popolare e può benissimo trasformarsi in una categoria a parte non appena si sviluppano ulteriormente.
Il malware è stato rilevato in campagna dannoso che distribuisce il virus utilizzando gioco modificato “mods” che sono frequentemente utilizzate dai giochi per computer per ingannare i giochi o modificare i loro personaggi con le statistiche insoliti. Il sito vittima, che ha iniziato le infezioni WaterMiner. L'insorgenza di attacchi legati alla minaccia era a causa di un mod per i popolari di video giochi Auto Grand Theft emessi postato su un forum di lingua russa chiamata “anguria” che si traduce “anguria” in russo.
Gli hacker distribuiti tramite diversi profili che rende impossibile per scoprire la prima fonte originale. Una delle ragioni più importanti per cui il minatore WaterMiner Monero è così tanto successo è perché i file dei virus sono stati segnalati pulita da un virus scan totale. E 'possibile che i criminali contraffatti le scansioni per confondere gli obiettivi in infettare se stessi. Il mod dannoso che ospita il minatore WaterMiner Monero è ospitato su Yandex.Disk, uno dei popolari servizi di condivisione di file russi in un file di archivio RAR.
Capacità del WaterMiner Monero Miner
Una volta che le vittime scaricare il software minatore WaterMiner Monero nella sua forma archiviato quando il file RAR è imballati diversi file vengono rivelati. Tra di loro è un file eseguibile denominato “pawncc.exe” che è uno script che conduce alla infezione WaterMiner Monero. Quando viene eseguita una sequenza di comandi che vengono eseguiti scaricare il malware da un server remoto. I ricercatori fanno notare che il seguente ordine è seguito:
- Initial System Check -Quando le vittime eseguire l'applicazione per la prima volta si verifica se la macchina non è già stato infettato con il software WaterMiner. Se non è stato trovato un marcatore di infezione si crea nel Registro di sistema di Windows a “HKLM Software IntelPlatform” con un valore di “Ld566xsMp01a” impostato “Niente”.
- infezione iniziale - Il malware viene scaricato da un sito hacker telecomandato che ospita il file del virus. I file identificati sono ospitati su un profilo di Google Drive condiviso. Quando il file viene scaricato il marcatore infezione viene rinominato “caricato” e il minatore viene eseguito sul computer infetto.
- WaterMiner Esecuzione - Il processo dannoso viene eseguito sotto il nome “Intel (R) Sicurezza Assistent.exe”, ma non procederà se il set di mercato non è specificato come “caricato”. Ciò significa che un semplice killswitch può essere creato che disabilita il meccanismo Modifica del registro di Windows.
Durante la l'indagine i ricercatori hanno scoperto diversi indicatori unici nel modo in cui viene creato il virus. Essa ha permesso loro di seguire il codice sorgente di una versione precedente pubblicato su un'istanza Pastebin. I commenti autore ha trovato lì vetrina che il malware WaterMiner è fatta intenzionalmente a infettare i sistemi di destinazione e utilizzare le loro risorse per minare il criptovaluta Monero e generare reddito per gli operatori.
Ulteriori indagini sul WaterMiner Monero Miner
Il codice sorgente scoperta ha portato ad un'analisi dettagliata dei risultati finali previsti. I commenti sono scritti in russo e (fortunatamente) hanno portato ad alcuni interessanti spunti di riflessione sul modo in cui viene eseguito il WaterMiner.
Quando l'istanza viene eseguito e avviato sul computer client per un totale di 11 file miniera vengono caricati in una cartella temporanea. Un'installazione permanente viene quindi ottenuta utilizzando una combinazione di sistema impostazioni diverse modifiche. Questo rende di fatto impossibile la rimozione manuale come il malware è in grado di monitorare costantemente le azioni dei programmi utente o anti-virus. Per rimuovere tali infezioni delle vittime dovrebbero utilizzare una soluzione di qualità anti-spyware. Il minatore WaterMiner Monero è destinato ad essere scaricato solo una volta per nascondersi dall'analisi pattern recognition e altre misure di sicurezza.
Inoltre gli esperti di sicurezza sono stati in grado di seguire il codice alla sezione TO-DO che elenca gli aggiornamenti futuri possibili per il motore principale. Hacker dietro il Monero miner intendono raggruppare un modulo di backup nel malware. Questo permetterà al programma di per sé assicurare automaticamente contro la rimozione parziale, accesso o modifica non autorizzata. Un'altra futuro aggiornamento può presentare un meccanismo di persistenza migliorata usando l'utilità di pianificazione.
L'esempio presentato è un'istanza preventiva del malware WaterMiner Monero che dispone di una simile infezione tattica per la versione contemporanea, vale a dire nel modo in cui il processo viene salvato in un file temporaneo denominato “Intel(R) Sicurezza Assistent.exe”. Si è installato come un'infezione persistente tramite un valore impostato Registro travestito da “Oracle Corporation” applicazione.
WaterMiner Monero Operazioni Miner
Il minatore WaterMiner Monero si connette a un pool predefinito di avere istruzioni specifiche nel suo file di configurazione. Un pool mining è un nodo centrale che prende un Monero blockchain blocco e lo distribuisce ai peer connessi alla trasformazione. Quando un determinato numero di azioni vengono restituiti e verificato presso la piscina una ricompensa sotto forma di Monero criptovaluta è cablata per l'indirizzo portafoglio designato. Nel caso dell'istanza dannoso questo è l'indirizzo gestito dai criminali.
I ceppi catturati sono stati trovati per la connessione a Minergate, che è una delle opzioni più popolari che gli utenti considerano. I rapporti precedenti che questo è una delle piscine che sono ampiamente utilizzati dalle reti bot e fatto i computer. L'attuale software minatore WaterMiner Monero è un verson modificata del software ampiamente utilizzato open-source XMRig.
Di per sé questo non è un malware ma la sua installazione senza l'autorizzazione dell'utente viene identificato come un importante rischio per la sicurezza. Le vecchie versioni del virus WaterMiner sono stati trovati ad utilizzare un altro minatore chiamato Nizza Hash. Il passaggio alla XMRig è probabilmente perché il vecchio software richiede una dozzina di file diversi per funzionare correttamente sulle macchine compromesse.
I minatori stessi fare affidamento sulle risorse di sistema disponibili per svolgere calcoli complessi che utilizzano il processore o le schede grafiche. Uno dei più evidenti segni di infezione è il degrado di prestazioni gravi. Alcuni dei campioni catturati difendere contro inchiesta sulle possibili ragioni ricercando continuamente il sistema per una finestra aperta che prende il nome da uno dei seguenti nomi o contiene una stringa correlato: Task Manager di Windows, Task Manager, Anti-Virus, Process Hacker. I comandi incorporati vetrina che le stringhe sono iscritti sia in russo e inglese.
Se vengono rilevate delle suddette applicazioni sono o chiuse o viene interrotta processo di estrazione. Questa è una caratteristica di protezione invisibile che tenta di mascherare la presenza di infezione da vittime.
Chi c'è dietro il WaterMiner Monero Miner
Uno degli aspetti interessanti legati al malware WaterMiiner è i suoi creatori. I ricercatori di sicurezza hanno tentato di identificare l'hacker o collettiva ladro dietro il virus. L'indagine è iniziata con il monitoraggio dei posti e delle attività dei profili del forum che hanno distribuito i mods infetti gioco GTA. La persona (o persone) dietro l'account chiamato “Martin Opc0d3r” sono state incrociate con altre schede di Internet. Le relazioni vetrina che al momento la distribuzione è legata solo alla comunità di gioco trovato in questo sito.
Uno dei campioni WaterMiner inclusi indirizzi hardcoded che ospitano le istanze dei virus su URL quasi identiche ospitati su server web russi. E 'possibile che essi sono generati automaticamente da uno script o un programma automatico. Altri campioni sono stati trovati su più domini base di un algoritmo condiviso.
Alcuni dei link individuati dai ricercatori non sono più accessibili. Nel corso delle indagini gli esperti fanno notare che i ceppi simili sono stati trovati. E 'probabile che essi sono versioni personalizzate del minatore WaterMiner Monero. Un frammento di codice Pastebin associata al profilo degli hacker suggerisce che alcuni degli archivi che portano il nome uguale o simile sono casi effettivi di Troia e non il minatore malware stesso.
Dato che l'inchiesta ha proseguito ulteriormente analizzando il comportamento, frequenza dei post, link e altre attività del profilo associato con gli attaccanti, i ricercatori osservano che il criminale informatico è esperto nell'uso di siti e reti diverse. Tuttavia uno dei profili sul social network russo VK una diversa identità chiamato Anton è stato utilizzato.
Durante una discussione con un altro utente l'uomo sotto il nome di Anton ha ammesso di essere l'uomo dietro l'identità dannoso. Quando l'informazione è stata riferimenti incrociati dagli investigatori sono stati in grado di confermare parzialmente che questa persona è l'hacker responsabile del Monero miner.
infezioni attive del minatore WaterMiner Monero possono essere rimossi con una soluzione di qualità anti-spyware. le istanze trovate possono essere rimossi in modo efficiente solo da pochi clic del mouse.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: