Cryptogeld mijnbouw, of cryptojacking voor de korte, is een van de grootste cybersecurity bedreigingen gericht op zowel individuele gebruikers en ondernemingen, het hele netwerk opgenomen. Volgens statistieken, een op de drie organisaties is het doelwit van cryptogeld mijnwerkers.
Het aantal cryptogeld mijnwerkers (of cryptominers) is toegenomen, met nieuwe besmettingen worden ontdekt op een dagelijkse basis. KingMiner is de naam van de laatste dergelijke dreiging ontdekt door Trend Micro onderzoekers.
Meer over de KingMiner Cryptominer
KingMiner is de mijnbouw de Monero cryptogeld en is gericht op Windows-servers. Het werd voor het eerst ontdekt in het wild in het midden van juni, en al snel daarna verbeterde versies zijn uitgebracht in het wild. Degene die achter de mijnbouw gebruikt verschillende ontwijkingstechnieken, wat leidt tot aanzienlijke vermindering detectiepercentages, aldus de onderzoekers. Bovendien, de opkomst van de infectie groeit gestaag.
KingMiner richt zich specifiek op Microsoft-servers, meestal IIS SQL, en pogingen om hun wachtwoorden te raden met behulp van brute-force aanvallen. Zodra de toegang wordt verkregen, de malware downloadt een Windows scriptlet bestand (.sct) en voert het op de computer van het slachtoffer. Het bestand wordt het uitvoeren van de volgende handelingen:
- Het bestand detecteert de relevante CPU architectuur van de machine.
- Bij oudere versies van de aanval bestanden bestaan, Het doodt de desbetreffende exe-bestand proces en verwijdert de bestanden zelf.
- Een payload ZIP-bestand (zip 64p.zip) wordt gedownload op basis van de gedetecteerde CPU architectuur. Opgemerkt dient te worden dat geen daadwerkelijke ZIP-bestand, maar eerder een XML-bestand dat emulatie pogingen zullen omzeilen.
- De XML payload omvat een Base64 blob die, eenmaal gecodeerde, zal resulteren in de beoogde “ZIP” file.
Bij oudere versies van de malware bestanden worden gedetecteerd op de beoogde machine, ze zullen worden verwijderd door de nieuwe, momenteel actieve versie. Bij extractie, KingMiner zal een reeks nieuwe registersleutels maken en zal een XMRig mijnwerker bestand dat is opgegeven voor Monero mining uit te voeren.
De analyse laat zien dat de miner is geconfigureerd voor het gebruik 75% van de CPU-capaciteit van de geïnfecteerde machine. Echter, codering fouten ook daadwerkelijk maken het naar 100% benutting van de CPU.
Als voor de mijnbouw pool van de malware, Het is prive en de API is uitgeschakeld, en de portefeuille is nooit gebruikt in de openbare mijnbouw pools. Dit maakt het vrijwel onmogelijk voor onderzoekers om de domeinen die in gebruik zijn te volgen, of de hoeveelheid gewonnen Monero munten definiëren.
Wie is gericht? Onderzoekers zeggen dat ze kunnen zien dat de aanval wordt momenteel wijd verspreid, van Mexico naar India, Noorwegen en Israël.
KingMiner is een voorbeeld van ontwikkelende cryptogeld mining malware die gemeenschappelijke detectie en emulatie systemen omzeilen, Trend Micro zegt. De onderzoekers voorspellen dat er meer aanvallen van dit type zal worden gezien in de toekomst.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: