Darktrace предупреждает о новой кампании по криптоджекингу, способной обойти Windows Defender. Кампании по криптоджекингу с использованием социальной инженерии.

Кибербезопасностная компания Darktrace выявила новую кампанию по криптоджекингу, предназначенную для обхода Windows Defender и установки программного обеспечения для майнинга криптовалют.

Кампания по криптоджекингу, впервые выявленная в конце июля, включает многоступенчатую цепочку заражения, которая незаметно захватывает вычислительные ресурсы компьютера для майнинга криптовалют, объяснили исследователи Darktrace Кеанна Грелича и Тара Гулд в отчёте, предоставленном crypto.news.

По словам исследователей, кампания специально нацелена на системы на базе Windows, используя PowerShell — встроенную командную оболочку и язык сценариев от Microsoft, с помощью которых злоумышленники могут запускать вредоносные скрипты и получать привилегированный доступ к системе.

Эти вредоносные скрипты предназначены для выполнения непосредственно в оперативной памяти (RAM), и, как следствие, традиционные антивирусные инструменты, которые обычно полагаются на сканирование файлов на жёстких дисках системы, не способны обнаружить вредоносный процесс.

Далее злоумышленники используют язык программирования AutoIt, который обычно применяется IT-специалистами для автоматизации задач в Windows, чтобы внедрить вредоносный загрузчик в легитимный процесс Windows, который затем загружает и запускает программу для майнинга криптовалют, не оставляя явных следов в системе.

В качестве дополнительной линии защиты загрузчик запрограммирован выполнять серию проверок среды, таких как поиск признаков работы в песочнице и проверка наличия установленных антивирусных продуктов на хосте.

Выполнение продолжается только в том случае, если Windows Defender является единственной активной защитой. Кроме того, если заражённая учётная запись пользователя не обладает административными правами, программа пытается обойти контроль учётных записей пользователей (User Account Control), чтобы получить повышенный доступ.

Когда эти условия выполняются, программа загружает и запускает NBMiner — известный инструмент для майнинга криптовалют, который использует графический процессор компьютера для добычи таких криптовалют, как Ravencoin (RVN) и Monero (XMR).

В данном случае Darktrace удалось локализовать атаку с помощью своей системы Autonomous Response, “предотвращая установку исходящих соединений устройством и блокируя определённые соединения с подозрительными конечными точками”.

“По мере того как криптовалюта продолжает набирать популярность, что видно по сохраняющейся высокой оценке глобальной капитализации рынка криптовалют (почти 4 триллиона долларов на момент написания), злоумышленники будут продолжать рассматривать майнинг криптовалют как прибыльное занятие”, — пишут исследователи Darktrace.

Кампании по криптоджекингу с использованием социальной инженерии

В июле Darktrace также зафиксировала отдельную кампанию, в рамках которой злоумышленники использовали сложные методы социальной инженерии, такие как выдача себя за реальные компании, чтобы обманом заставить пользователей загрузить изменённое программное обеспечение, разворачивающее вредоносное ПО для кражи криптовалют.

В отличие от вышеупомянутой схемы криптоджекинга, этот подход был нацелен как на Windows, так и на macOS, и реализовывался самими жертвами, которые считали, что взаимодействуют с сотрудниками компаний.