クライアントコンピュータに感染する新しい方法を作成するという危険な傾向により、WaterMiner(回避型マルウェアMonero miner)が開発されました。. 詳細なセキュリティは、この悪意のあるソフトウェアが弱いセキュリティをどのように利用し、オンラインで何千ものコンピューターを利用してMoneroデジタル通貨で収入を生み出すかを明らかにします.
WaterMinerMoneroMinerが明らかに
セキュリティ研究者は新しいを発見しました マイナーマルウェア 世界規模でインターネット上で活発に配布されている. その名前はWaterMinerMoneroMinerとして指定されています, その名前から、コンピュータはそれがに指定されていると推測することができます “私の” 侵害されたマシンの利用可能なリソースを使用したMonero暗号通貨. レポートによると、このタイプのコンピュータの脅威は非常に人気があり、さらに発展するとすぐに別のカテゴリに変わる可能性があります。.
マルウェアは、変更されたゲームを使用してウイルスを配布する悪意のあるキャンペーンで検出されました “改造” これは、コンピュータゲームでゲームをごまかしたり、異常な統計でキャラクターを変更したりするために頻繁に使用されます. WaterMiner感染を開始した被害者のサイト. 脅威に関連する攻撃の開始は、ロシア語を話すフォーラムに投稿された、人気のあるグランドセフトオートビデオゲームの改造によるものでした。 “Arbuz” これは “スイカ” ロシア語で.
ハッカーはそれをさまざまなプロファイルを介して配布したため、最初の元のソースを見つけることができませんでした. WaterMiner Moneroマイナーが非常に成功している最も重要な理由の1つは、ウイルスファイルがVirusTotalスキャンによってクリーンであると報告されたためです。. 犯罪者がスキャンをスプーフィングして、ターゲットを混乱させて自分自身に感染させた可能性があります. WaterMinerMoneroマイナーをホストする悪意のあるmodはYandex.Diskでホストされています, RARアーカイブファイルで人気のあるロシアのファイル共有サービスの1つ.
WaterMinerMoneroMinerの機能
被害者がWaterMinerMoneroマイナーソフトウェアをアーカイブされた形式でダウンロードすると、RARファイルが解凍され、いくつかのファイルが明らかになります。. その中には、と呼ばれる実行可能ファイルがあります “pawncc.exe” これはWaterMinerMonero感染につながるスクリプトです. 実行されると、リモートサーバーからマルウェアをダウンロードする一連のコマンドが実行されます. 研究者は、次の順序に従うことに注意します:
- 初期システムチェック ‒被害者が初めてアプリケーションを実行すると、マシンがWaterMinerソフトウェアにまだ感染していないかどうかが確認されます。. 検出されなかった場合、感染マーカーは次のWindowsレジストリに作成されます。 “HKLM Software IntelPlatform” の値で “Ld566xsMp01a” に設定 “何もない”.
- 初期感染 ‒マルウェアは、ウイルスファイルをホストするハッカーが管理するリモートサイトからダウンロードされます。. 識別されたファイルは、共有のGoogleドライブプロファイルでホストされています. ファイルがダウンロードされると、感染マーカーの名前が次のように変更されます。 “ロード済み” マイナーは侵入先のコンピューターで実行されます.
- WaterMinerの実行 ‒悪意のあるプロセスは次の名前で実行されます “インテル (R) Security Assistent.exe”, ただし、マーケットセットが次のように指定されていない場合は続行されません “ロード済み”. これは、Windowsレジストリの変更メカニズムを無効にする単純なキルスイッチを作成できることを意味します.
調査中に、研究者はウイルスが作成される方法でいくつかのユニークな指標を発見しました. これにより、Pastebinインスタンスに投稿された以前のバージョンのソースコードを追跡できるようになりました. そこにある著者のコメントは、WaterMinerマルウェアが意図的にターゲットシステムに感染し、そのリソースを使用してMonero暗号通貨をマイニングし、オペレーターに収入をもたらすことを示しています。.
WaterMinerのさらなる調査MoneroMiner
発見されたソースコードは、意図された最終結果の詳細な分析につながりました. コメントはロシア語で書かれており、 (幸いなことに) 彼らはWaterMinerの実行方法に関するいくつかの興味深い洞察につながりました.
インスタンスがクライアントコンピューターで実行および開始されると、合計で 11 鉱山ファイルは一時フォルダにロードされます. 永続的なインストールは、さまざまなシステム設定の変更の組み合わせを使用して実現されます. これにより、マルウェアはユーザーまたはアンチウイルスプログラムのアクションを常に追跡できるため、手動での削除が事実上不可能になります。. このような感染を除去するには、被害者は高品質のスパイウェア対策ソリューションを利用する必要があります. WaterMiner Moneroマイナーは、パターン認識分析やその他のセキュリティ対策から身を隠すために1回だけダウンロードすることを目的としています。.
さらに、セキュリティの専門家は、コアエンジンの将来の可能な更新をリストするTO-DOセクションのコードに従うことができました。. Moneroマイナーの背後にいるハッカーは、バックアップモジュールをマルウェアにバンドルすることを意図しています. これにより、プログラムは部分的な削除から自動的に保護されます, 不正アクセスまたは変更. 別の将来の更新では、タスクスケジューラを使用して、永続性メカニズムを改善できます。.
紹介されている例は、WaterMiner Moneroマルウェアの以前のインスタンスであり、現在のバージョンと同様の感染戦術を特徴としています。, つまり、プロセスがという一時ファイルに保存される方法です。 “インテル(R) Security Assistent.exe”. これは、偽装されたレジストリ値の設定を介して永続的な感染としてインストールされます。 “オラクル株式会社” 応用.
WaterMiner Monero Miner Operations
WaterMiner Moneroマイナーは、構成ファイルに特定の指示を含めることにより、事前定義されたプールに接続します. マイニングプールは、Moneroブロックチェーンブロックを取得し、接続されたピアに配布して処理する集中型ノードです。. 設定された数の株式が返され、プールによって検証されると、Monero暗号通貨の形式の報酬が指定されたウォレットアドレスに配線されます. 悪意のあるインスタンスの場合、これは犯罪者によって操作されたアドレスです.
捕獲された菌株は、ユーザーが考える最も人気のあるオプションの1つであるMinergateに接続することがわかりました. これは、ボットネットやハッキングされたコンピューターによって広く使用されているプールの1つであるという以前の報告. 実際のWaterMinerMoneroマイナーソフトウェアは、広く使用されているオープンソースのXMRigソフトウェアを変更したものです。.
これ自体はマルウェアではありませんが、ユーザーの同意なしにインストールすると、主要なセキュリティリスクとして識別されます. WaterMinerウイルスの古いバージョンでは、NiceHashと呼ばれる別のマイナーが使用されていることが判明しています。. XMRigへの切り替えは、おそらく、古いソフトウェアが侵入先のマシンで正しく実行するために数十の異なるファイルを必要とするためです。.
鉱夫自身は、プロセッサまたはグラフィックカードを使用して複雑な計算を実行するために利用可能なシステムリソースに依存しています. 感染の最も明白な兆候の1つは 深刻なパフォーマンスの低下. キャプチャされたサンプルの一部は、次のいずれかの名前にちなんで名付けられた、または関連する文字列を含む開いているウィンドウをシステムで継続的に検索することにより、考えられる理由の調査を防ぎます。: ウィンドウズタスクマネージャー, タスクマネージャー, アンチウイルス, プロセスハッカー. 組み込みコマンドは、文字列がロシア語と英語の両方で入力されていることを示しています.
上記のアプリケーションのいずれかが検出された場合、それらはシャットダウンされるか、マイニングプロセスが停止されます. これは、被害者からの感染の存在を隠そうとするステルス保護機能です。.
WaterMinerの背後にいるのは誰ですかMoneroMiner
WaterMiinerマルウェアに関連する興味深い側面の1つは、その作成者です. セキュリティ研究者は、ウイルスの背後にあるハッカーまたは犯罪集団を特定しようとしました. 調査は、感染したGTAゲームMODを配布したフォーラムプロファイルの投稿とアクティビティの追跡から始まりました。. 人 (または人々) アカウントの背後にある “マーティンOpc0d3r” 他のインターネット掲示板と相互参照されました. レポートは、現時点では、ディストリビューションはこのサイトで見つかったゲームコミュニティにのみ関連付けられていることを示しています.
WaterMinerサンプルの1つには、ロシアのWebサーバーでホストされているほぼ同一のURLでウイルスインスタンスをホストするハードコードされたアドレスが含まれていました。. スクリプトまたは自動プログラムによって自動的に生成される可能性があります. 共有アルゴリズムに従って、複数のドメインで追加のサンプルが見つかりました.
研究者によって特定されたリンクの一部にはアクセスできなくなりました. 調査中、専門家は同様の菌株が発見されたことに気づきました. それらはWaterMinerMoneroマイナーのカスタマイズされたバージョンである可能性があります. ハッカープロファイルに関連付けられたPastebinコードスニペットは、同じまたは類似の名前を持つアーカイブの一部が実際のトロイの木馬インスタンスであり、マルウェアマイナー自体ではないことを示唆しています。.
行動を分析することによって調査がさらに続けられたので, 投稿の頻度, 攻撃者に関連付けられたプロファイルのリンクおよびその他のアクティビティ, 研究者は、サイバー犯罪者がさまざまなサイトやネットワークを使用した経験があることに注目しています. ただし、ロシアのソーシャルネットワークVKのプロファイルの1つである、Antonと呼ばれる別のIDが使用されています.
別のユーザーとの話し合いの中で、アントンという名前の男が悪意のあるアイデンティティの背後にいる男であると認めました. 調査員が情報を相互参照したところ、この人物がモネロ鉱夫の責任者であることが部分的に確認できました。.
WaterMiner Moneroマイナーのアクティブな感染は、高品質のスパイウェア対策ソリューションを使用して除去できます. 見つかったインスタンスは、マウスを数回クリックするだけで効率的に削除できます.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法