De gevaarlijke trend van het creëren van nieuwe manieren om de client computers te infecteren heeft geleid tot de ontwikkeling van WaterMiner - een ontwijkend malware Monero mijnwerker. Een gedetailleerde security laat zien hoe deze schadelijke software maakt gebruik van zwakke beveiliging en maakt gebruik op duizenden computers online te inkomen in de Monero digitale valuta te genereren.
De WaterMiner Monero Miner Revealed
Beveiligingsonderzoekers hebben een nieuwe ontdekt mijnwerker malware die actief wordt verspreid op het internet op wereldwijde schaal. Zijn naam wordt aangewezen als de WaterMiner Monero Miner, uit de naam computer gebruik kunnen raden dat het is aangewezen om “de mijne” de Monero cryptogeld met behulp van de beschikbare middelen van de gecompromitteerde machines. Rapporten geven aan dat dit soort computer bedreigingen worden steeds zeer populair en kan heel goed veranderen in een aparte categorie zodra ze verder te ontwikkelen.
De malware werd ontdekt in kwaadaardige campagne die het virus met behulp van gemodificeerde gaming distribueert “mods” die vaak worden gebruikt door computerspelletjes te spelen vals te spelen of aan te passen hun personages met ongewone statistieken. Het slachtoffer site die de WaterMiner infecties begonnen. Het begin van de aanvallen in verband met de dreiging was te wijten aan een mod voor de populaire Grand Theft Auto video uitgegeven geplaatst op een Russisch-sprekende forum genaamd spellen “watermeloen” wat zich vertaalt naar “watermeloen” in het Russisch.
De hackers verspreid het via verschillende profielen die het onmogelijk maakt om de eerste oorspronkelijke bron ontdekt. Een van de belangrijkste redenen waarom de WaterMiner Monero mijnwerker is zo succesvol is omdat het virus bestanden schoon werden gemeld door een virus Total scan. Het is mogelijk dat de criminelen vervalste de scans om de doelstellingen te verwarren in zichzelf en tasten. De kwaadaardige mod dat de WaterMiner Monero mijnwerker hosts wordt gehost op Yandex.Disk, één van de populaire Russische file sharing services in een RAR-archiefbestand.
Mogelijkheden van de WaterMiner Monero Miner
Zodra de slachtoffers downloaden van de WaterMiner Monero mijnwerker software in zijn gearchiveerde vorm wanneer het RAR bestand is uitgepakt meerdere bestanden worden onthuld. Onder hen is een uitvoerbaar bestand met de naam “pawncc.exe” dat is een script die leidt tot de WaterMiner Monero infectie. Wanneer het wordt uitgevoerd een reeks opdrachten worden uitgevoerd die de malware te downloaden vanaf een externe server. De onderzoekers constateren dat de volgende volgorde wordt gevolgd:
- Initial systeemcontrole -Als de slachtoffers lopen de aanvraag voor de eerste keer na of de machine is nog niet besmet zijn met de WaterMiner software. Als het is niet gevonden een infectie marker is gemaakt in het Windows-register op “HKLM Software IntelPlatform” met een waarde van “Ld566xsMp01a” ingesteld op “Niets”.
- Initial Infectie - De malware wordt gedownload van een op afstand hacker gecontroleerde site die het virus bestand wordt gehost. De geïdentificeerde bestanden worden gehost op een gedeelde Google Drive-profiel. Wanneer het bestand is gedownload de infectie marker is hernoemd naar “loaded” en de mijnwerker wordt uitgevoerd op de besmette computer.
- WaterMiner Execution - De kwaadaardige proces wordt uitgevoerd onder de naam “Intel (R) beveiliging Assistent.exe”, maar gaat niet verder als de markt set niet zo is opgegeven “loaded”. Dit betekent dat een eenvoudige Killswitch kan worden gecreëerd die het Windows register modificatie mechanisme blokkeert.
Tijdens het onderzoek ontdekten de onderzoekers een aantal unieke indicatoren in de manier waarop het virus wordt gecreëerd. Zij konden ze de broncode van een eerdere versie gepost op een Pastebin instantie te traceren. De auteur opmerkingen daar gevonden showcase dat de WaterMiner malware opzettelijk wordt verwezen naar doel systemen te infecteren en gebruiken hun middelen om de Monero cryptogeld ontginnen en het genereren van inkomsten voor de operators.
Verder onderzoek naar de WaterMiner Monero Miner
De ontdekte source code heeft geleid tot een gedetailleerde analyse van de beoogde eindresultaten. De commentaren zijn geschreven in het Russisch en (gelukkig) zij heeft geleid tot een aantal interessante inzichten over de manier waarop de WaterMiner wordt gerund.
Wanneer de instantie wordt uitgevoerd en gestart op de client computers in totaal 11 mijn bestanden worden geladen in een tijdelijke map. Een blijvende installatie wordt vervolgens bereikt door een combinatie van verschillende systeeminstellingen modificaties. Dit maakt effectief handmatige verwijdering onmogelijk als de malware is in staat om voortdurend volgen van de handelingen van de gebruiker of anti-virus programma's. Om dergelijke infecties te verwijderen van de slachtoffers zou een kwaliteit anti-spyware oplossing te gebruiken. De WaterMiner Monero mijnwerker is bedoeld om slechts één keer worden gedownload om zich te verbergen voor de analyse patroonherkenning en andere veiligheidsmaatregelen.
Daarnaast waren de security experts in staat om de code te volgen naar de sectie TO-DO die mogelijke toekomstige updates geeft tot de kern motor. De hackers achter de Monero mijnwerker van plan om een back-up module te bundelen tot de malware. Hierdoor kan het programma automatisch beveiligen tegen gedeeltelijke verwijdering, ongemachtigde toegang of wijziging. Een andere toekomstige update kan een verbeterde persistentie mechanisme te brengen met behulp van de Task Scheduler.
De tentoongesteld voorbeeld is een eerdere instantie van de WaterMiner Monero malware die een vergelijkbare besmetting tactiek om de eigentijdse versie kenmerkt, namelijk in de manier waarop het proces wordt opgeslagen in een tijdelijk bestand met de naam “Intel(R) beveiliging Assistent.exe”. Het is geïnstalleerd als een hardnekkige infectie via een set registerwaarde vermomd als een “Oracle Corporation” toepassing.
WaterMiner Monero Miner Operations
De WaterMiner Monero miner aangesloten op een vooraf bepaalde pool doordat specifieke instructies in het configuratiebestand. Een mijnbouw pool is een centraal knooppunt dat een Monero blockchain draait blok en geeft dit door aan de aangesloten peers verwerking. Wanneer een bepaald aantal aandelen worden geretourneerd en gecontroleerd door het zwembad een beloning in de vorm van Monero cryptogeld is aangesloten op de aangewezen portemonnee adres. In het geval van de kwaadaardige Dit is bijvoorbeeld het adres geëxploiteerd door de criminelen.
De vastgelegde stammen werden gevonden om verbinding te maken Minergate dat is een van de meest populaire opties die gebruikers overwegen. Eerdere rapporten dat dit een van de zwembaden die op grote schaal worden gebruikt door botnets en gehackte computers. De werkelijke WaterMiner Monero mijnwerker software is een gewijzigde verson van de veelgebruikte open-source XMRig software.
Op zichzelf is dit geen malware echter de installatie ervan zonder toestemming van de gebruiker is geïdentificeerd als een belangrijke veiligheidsrisico. Oudere versies van de WaterMiner virus zijn gevonden op een andere mijnwerker genaamd Mooi Hash gebruiken. De overstap naar XMRig is waarschijnlijk omdat de oudere software vereist een dozijn verschillende bestanden om goed te werken op de besmette machines.
De mijnwerkers zich beroepen op de beschikbare systeembronnen complexe berekeningen met behulp van de processor of de grafische kaarten uit te voeren. Een van de meest duidelijke tekenen van infectie ernstige prestatievermindering. Een deel van de gevangen genomen monsters te verdedigen tegen onderzoek naar de mogelijke redenen door voortdurend op zoek van het systeem voor een open raam, dat is vernoemd naar één van de volgende namen of bevat een verwante reeks: Windows Taakbeheer, Taakbeheer, Anti-virus, Process Hacker. De ingebouwde commando's showcase die de touwtjes in zowel het Russisch en Engels worden ingevoerd.
Wanneer één van de hiervoor genoemde toepassingen worden gedetecteerd ze ofwel uitgeschakeld of winningsproces wordt gestopt. Dit is een stealth bescherming functie die probeert de infectie en de aanwezigheid van de slachtoffers te maskeren.
Wie zit er achter de WaterMiner Monero Miner
Een van de interessante aspecten van de WaterMiiner malware is de makers. De security onderzoekers geprobeerd om de hacker of strafrechtelijke collectief achter het virus te identificeren. Het onderzoek begon met het volgen van de posten en de activiteiten van het forum profielen die de geïnfecteerde GTA game mods verdeeld. De persoon (of mensen) achter het met de naam “Martin Opc0d3r” werden kruisverwijzingen met andere Internet boards. De rapporten presenteren dat op het moment dat de uitkering is alleen gebonden aan de gaming community vinden op deze site.
Een van de WaterMiner monsters die hardcoded adressen die als gastheer voor het virus exemplaren op bijna identieke URL's gehost op Russische webservers. Het is mogelijk dat ze automatisch worden gegenereerd door een script of automatische. Aanvullende monsters werden gevonden op verscheidene domeinen volgende gemeenschappelijke algoritme.
Een aantal van de door de onderzoekers links zijn niet meer toegankelijk. Tijdens het onderzoek van de experts er rekening mee dat soortgelijke stammen zijn gevonden. Het is waarschijnlijk dat ze zijn aangepaste versies van de WaterMiner Monero mijnwerker. Een Pastebin codefragment gekoppeld aan de hacker profiel suggereert dat sommige van de archieven die dezelfde of vergelijkbare naam dragen zijn actuele Trojan gevallen en niet de malware zelf miner.
Aangezien het onderzoek voortgezet verder door het analyseren van het gedrag, frequentie van de berichten, links en andere activiteiten van het profiel in verband met de aanvallers, de onderzoekers constateren dat de cybercrimineel wordt ervaren in het gebruik van verschillende sites en netwerken. Maar een van de profielen op de Russische sociale netwerk VK een andere identiteit genaamd Anton is gebruikt.
Tijdens een gesprek met een andere gebruiker de man onder de naam Anton toegelaten tot de man achter de kwaadaardige identiteit. Wanneer de informatie werd cross-verwezen door de onderzoekers waren ze in staat om gedeeltelijk bevestigen dat deze persoon is de hacker verantwoordelijk voor de Monero mijnwerker.
Actieve infecties van de WaterMiner Monero mijnwerker kan worden verwijderd met behulp van een kwaliteit anti-spyware oplossing. In totaal gevallen kan efficiënt worden verwijderd met een paar muisklikken.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: