Darktrace пометил новую активность криптовзлома, способную обходить Windows Defender

Сообщение от CoinWorld: кибербезопасная компания Darktrace обнаружила новую активность криптовзлома, целью которой является обход Windows Defender и развертывание программного обеспечения для майнинга криптовалюты. Исследователи Darktrace Кеанна Грелиха и Тара Гулд в отчете, который был представлен crypto.news, объяснили, что эта активность криптовзлома была впервые обнаружена в конце июля и включает многослойную цепочку заражения, которая незаметно захватывает вычислительные мощности компьютеров для майнинга криптовалюты. Исследователи отметили, что данная активность нацелена специально на системы на базе Windows, используя PowerShell (встроенный командный интерпретатор и язык скриптов от Microsoft) для выполнения вредоносных скриптов и получения привилегированного доступа к хост-системе. Эти вредоносные скрипты предназначены для непосредственного выполнения в системной памяти (RAM), поэтому традиционные антивирусные инструменты, которые обычно полагаются на сканирование файлов на жестком диске системы, не могут обнаружить вредоносные процессы. Затем злоумышленники используют язык программирования AutoIt (инструмент Windows, обычно используемый IT-специалистами для автоматизации задач), чтобы внедрить вредоносный загрузчик в легитимные процессы Windows, после чего загружают и выполняют программу для майнинга криптовалюты, не оставляя заметных следов в системе. В качестве дополнительной меры защиты этот загрузчик был запрограммирован на выполнение ряда проверок окружения, таких как поиск признаков песочницы и проверка установленных на хосте антивирусных продуктов. Выполнение продолжится только если Windows Defender является единственной активной защитой. Кроме того, если учетная запись зараженного пользователя не имеет прав администратора, программа попытается обойти контроль учетных записей пользователей для получения более высокого уровня доступа. Когда эти условия удовлетворены, программа загружает и выполняет NBMiner, известный инструмент для майнинга криптовалюты, который использует графические процессоры компьютера для добычи таких криптовалют, как Ravencoin ( RVN ) и Monero ( XMR ). В этом случае Darktrace смогла проконтролировать атаку с помощью своей системы автономного реагирования, «блокируя устройство от установления исходящих соединений и блокируя конкретные соединения с подозрительными конечными точками». Исследователи Darktrace написали: «С ростом популярности криптовалют, как видно из продолжающегося завышения глобальной рыночной капитализации криптовалют (на момент написания статьи близка к 4 триллионам долларов), злоумышленники продолжат рассматривать майнинг криптовалюты как прибыльное предприятие». Еще в июле Darktrace отметила отдельную активность, в которой злоумышленники использовали сложные стратегии социального инженерии (например, выдавая себя за настоящие компании), чтобы обманом заставить пользователей загрузить модифицированное программное обеспечение, которое развертывало вредоносные программы для кражи криптовалюты. В отличие от вышеупомянутого плана криптовзлома, этот метод нацелен одновременно на системы Windows и macOS и выполняется самими неосведомленными жертвами, которые думают, что взаимодействуют с сотрудниками компании.