Darktrace попереджає про нову кампанію криптоджекінгу, яка може обійти Windows Defender. Кампанії криптоджекінгу через соціальну інженерію

Компанія з кібербезпеки Darktrace виявила нову кампанію криптоджекінгу, розроблену для обходу Windows Defender і розгортання програмного забезпечення для майнінгу криптовалют.

Кампанія криптоджекінгу, вперше виявлена наприкінці липня, включає багатоступеневий ланцюг зараження, який тихо захоплює обчислювальні потужності комп’ютера для майнінгу криптовалюти, пояснили дослідники Darktrace Кіанна Греліча та Тара Гулд у звіті, яким поділилися з crypto.news.

За словами дослідників, кампанія спеціально націлена на системи на базі Windows, використовуючи PowerShell — вбудовану командну оболонку та мову сценаріїв від Microsoft, через яку зловмисники можуть запускати шкідливі скрипти та отримувати привілейований доступ до системи.

Ці шкідливі скрипти розроблені для запуску безпосередньо в оперативній пам’яті (RAM), і, як наслідок, традиційні антивірусні інструменти, які зазвичай покладаються на сканування файлів на жорстких дисках системи, не здатні виявити шкідливий процес.

Далі зловмисники використовують мову програмування AutoIt, яка є інструментом Windows, що зазвичай використовується IT-фахівцями для автоматизації завдань, щоб впровадити шкідливий завантажувач у легітимний процес Windows, який потім завантажує та виконує програму для майнінгу криптовалюти, не залишаючи очевидних слідів у системі.

Як додатковий захід захисту, завантажувач запрограмований виконувати серію перевірок середовища, таких як сканування на наявність ознак пісочниці та перевірка встановлених антивірусних продуктів на хості.

Виконання продовжується лише у випадку, якщо Windows Defender є єдиним активним захистом. Крім того, якщо заражений обліковий запис користувача не має адміністративних прав, програма намагається обійти контроль облікових записів користувачів (User Account Control), щоб отримати підвищений доступ.

Коли ці умови виконуються, програма завантажує та виконує NBMiner — відомий інструмент для майнінгу криптовалют, який використовує графічний процесор комп’ютера для майнінгу таких криптовалют, як Ravencoin (RVN) та Monero (XMR).

У цьому випадку Darktrace змогла стримати атаку за допомогою своєї системи Autonomous Response, “запобігаючи встановленню пристроєм вихідних з’єднань і блокуючи конкретні підключення до підозрілих кінцевих точок.”

“Оскільки популярність криптовалют продовжує зростати, як видно з поточної високої оцінки глобальної ринкової капіталізації криптовалют (майже 4 трильйони доларів США на момент написання), зловмисники й надалі розглядатимуть майнінг криптовалют як прибуткову справу,” — написали дослідники Darktrace.

Кампанії криптоджекінгу через соціальну інженерію

Ще в липні Darktrace виявила окрему кампанію, у якій зловмисники використовували складні тактики соціальної інженерії, такі як видавання себе за реальні компанії, щоб обманом змусити користувачів завантажити змінене програмне забезпечення, яке розгортає шкідливе ПЗ для крадіжки криптовалют.

На відміну від згаданої вище схеми криптоджекінгу, цей підхід був націлений як на системи Windows, так і на macOS, і здійснювався самими жертвами, які вважали, що взаємодіють із співробітниками компанії.