暗号通貨マイニング, または略してクリプトジャッキング, は、個人ユーザーと企業の両方を対象とした主要なサイバーセキュリティの脅威の1つです。, ネットワーク全体が含まれています. 統計によると, 3つの組織の1つが暗号通貨マイナーのターゲットになっています.
の数 暗号通貨マイナー (またはクリプトマイナー) 増え続けている, 毎日新しい感染症が発見されています. KingMinerはそのような最新の脅威の名前です 発見した トレンドマイクロの研究者による.
KingMinerCryptominerの詳細
KingMinerはMonero暗号通貨をマイニングしており、Windowsサーバーをターゲットにしています. 6月中旬に野生で最初に検出されました, その後すぐに、改良されたバージョンが実際にリリースされました. 鉱夫の後ろにいる人は誰でもさまざまな回避技術を使用しています, これにより、検出率が大幅に低下します, 研究者は言った. さらに, 感染の増加は着実に増加しています.
KingMinerは特にMicrosoftサーバーを対象としています, 主にIISSQL, ブルートフォース攻撃を使用してパスワードを推測しようとします. アクセスが取得されると, マルウェアはWindowsスクリプトレットファイルをダウンロードします (.sct) 被害者のコンピューターで実行します. ファイルは次の操作を実行しています:
- このファイルは、マシンの関連するCPUアーキテクチャを検出します.
- 古いバージョンの攻撃ファイルが存在する場合, 関連するexeファイルプロセスを強制終了し、ファイル自体を削除します.
- ペイロードZIPファイル (zip 64p.zip) 検出されたCPUアーキテクチャに基づいてダウンロードされます. これは実際のZIPファイルではなく、エミュレーションの試行をバイパスするXMLファイルであることに注意してください。.
- XMLペイロードには、Base64BLOBが含まれています。, エンコードしたら, 目的の「ZIP」ファイルになります.
対象のマシンで古いバージョンのマルウェアファイルが検出された場合, それらは新しいものによって削除されます, 現在アクティブなバージョン. 抽出時, KingMinerは、新しいレジストリキーのセットを作成し、Moneroマイニング用に指定されたXMRigマイナーファイルを実行します.
分析は、マイナーが使用するように構成されていることを示しています 75% 感染したマシンのCPU容量の. でも, コーディングエラーは実際にそれを作ります 100% CPUの使用率.
マルウェアのマイニングプールについて, プライベートであり、APIはオフになっています, ウォレットは公共のマイニングプールで使用されたことはありません. これにより、研究者が使用中のドメインを追跡することはかなり不可能になります, またはマイニングされたMoneroコインの量を定義します.
対象者? 研究者は、攻撃が現在広く広がっていることがわかると言います, メキシコからインドへ, ノルウェーとイスラエル.
KingMinerは、一般的な検出およびエミュレーションシステムをバイパスできる進化する暗号通貨マイニングマルウェアの例です, トレンドマイクロによると. 研究者たちは、このタイプの攻撃が将来さらに見られると予測しています.