KingMiner крадет 100% мощности процессора для добычи Monero

30 ноября 2018 г., пятница

Вредоносная кампания стартовала в июне этого года и нацелена на компьютеры под управлением Windows Server.

Специалисты по информационной безопасности из исследовательской лаборатории Check Point проанализировали вредоносную кампанию, распространяющую программу для генерации криптовалюты KingMiner. Атаке злоумышленников подверглись серверы в Мексике, Израиле, Индии и странах Юго-Восточной Азии. Как выяснили эксперты, в коде майнера содержится ошибка, из-за чего он полностью загружает центральный процессор инфицированного устройства.

Целью кампании являются системы под управлением Windows Server. Зловред проводит брутфорс-атаку для проникновения на устройство, определяет тип установленного процессора и загружает соответствующую ему версию программы. Если сервер уже был инфицирован, KingMiner выгружает из памяти и удаляет все файлы, относящиеся к своим предыдущим версиям, после чего повторно заражает компьютер.

В качестве полезной нагрузки киберпреступники используют модернизированную версию программы XMRig, часть кода которой вынесена во внешнюю библиотеку. По мнению исследователей, это сделано, чтобы затруднить обнаружение зловреда антивирусными сканерами. Для этой же цели файлы приложения упакованы в ZIP-архив, который содержит в себе часть XML-кода, а при установке в DLL-объекты и исполняемый модуль добавляется мусорное содержимое.

Пытаясь усложнить работу ИБ-специалистам, авторы KingMiner предприняли ряд мер, чтобы исключить запуск вредоносной программы в песочнице. Аналитики также обнаружили, что после активации зловред задействует 100% ресурсов центрального процессора, несмотря на установленные в настройках ограничения в 75%.

Киберпреступники используют частный пул с отключенным API для сбора криптовалюты, поэтому аналитикам не удалось выяснить количество монет Monero, сгенерированных в результате кампании. По словам экспертов, первое появление KingMiner в дикой природе датируется июнем 2018 года, а в сентябре и октябре ИБ-специалисты зафиксировали появление новых версий зловреда, каждая из которых обладала все более надежной защитой от обнаружения. Исследование кода программы выявило множество закладок для дальнейших доработок, что делает вероятным появление новых релизов в будущем.

XMRig входит в список самых популярных программ для скрытной добычи цифровой валюты. Как показало исследование Check Point, чаще всего злоумышленники используют для криптоджекинга Coinhive, а на второй и третьей строчках расположились Cryptoloot и JSEcoin.

Threatpost