暗号通貨マイナーをインストールするために使用されるプロセスホローイング技術

にマーティン・ベルトフ | Last Update: 1月 2, 2023 | 0 コメントコメント

セキュリティ研究者のチームは、プロセスホローイングと呼ばれる意識を高めることなく暗号通貨マイナーをインストールするために使用される新しい技術の発見を報告しました.

これは、目的のマルウェアを配信できる高度なドロッパーを使用して行われます。. 他のウイルス感染技術の主な違いは、最初のアクションの1つとしてホストのセキュリティメカニズムをバイパスすることです。.

暗号通貨マイナーを移植するために使用されるプロセスホローイング技術

セキュリティ研究者のチームは、と呼ばれる危険なハッカー技術を発見しました プロセスホローイング これは、暗号通貨マイナーによる感染につながる侵入攻撃中に使用されています. キャンペーンは11月に検出され、アラブ首長国連邦を含むいくつかの国を対象としました, インド, バングラデシュ, クウェート, タイ, パキスタンとブラジル. 特に興味深いのは、配信が特別なペイロードドロッパーを介して行われることです. マイナーを直接ダウンロードして実行する代わりに、システムがそのマルウェアを検出しないようにするいくつかのアクションを実行します。. 頌歌.

関連している: [wplinkpreview url =”https://Sensorstechforum.com/ongoing-hybrid-phishing-attacks/”]進行中のハイブリッドフィッシング攻撃はセキュリティソリューションを迂回する可能性があります

ドロッパーは、パックされたマルウェアコードを含む特別な64ビットバイナリを表します. ファイルを実行すると、配信されたマイナーが無傷で配信されることを確認するいくつかのファイル検証チェックが行われます。. 実施された分析は、暗号化され、特別なアルゴリズムを使用してリアルタイムで復号化される関連する実行可能ファイルを示しています. 犯罪者はまた、最終的な鉱夫ファイルの正確な名前を難読化しました. 特別な文字列がメインエンジンによって呼び出され、暗号通貨マイナーが使用する主な引数を提供します:

ウォレットアドレス
マイナープールアドレス
テンプレートマイナー引数

他のセキュリティバイパス手法との違いは、マイナーインジェクションコードが被害者のシステムで準備されたファイル内に配置されることです。. 操作を実行する実際のコードは、別のファイルから呼び出され、別の拡張子で非表示になり、別のフォルダーに配置されます. オペレーティングシステムとサービスは、この悪意のあるものを悪意のある動作とは見なしません. セキュリティ研究者は、これを利用することによって “骨格コード” 感染は非常に長い間検出されないままになる可能性があります.

私たちは読者に次のことを思い出させます 暗号通貨マイナー 最も危険な感染症の1つです. これらの小さなサイズのスクリプトは、ファイルを削除する代わりに、リソースを大量に消費するタスクをリモートサーバーからダウンロードします。. CPUなどの主要コンポーネントに大きな負荷がかかります, メモリー ,ディスクスペースとGPU. それらの1つが完了したと報告されると、ハッカーはデジタルウォレットに直接暗号通貨で報酬を受け取ります. 将来、このメカニズムが他の種類のマルウェアで使用される可能性が非常に高くなります。.