加密货币挖掘恶意软件



趋势科技的网络安全研究人员表示,加密货币挖掘恶意软件创建者的混淆功能越来越复杂。

这可以通过一种新的加密货币挖掘恶意软件来证明,研究人员遇到了这种恶意软件,它采用多种规避技术来逃避检测。被识别为Coinminer.Get32.MALXMR.TIAOODAM,恶意加密挖掘软件作为Windows操作系统的安装程序文件,当它到达目标机器时。使用Windows操作系统的实际组件不仅使其看起来不那么可疑,而且还允许恶意软件绕过特定的安全过滤器。

根据网络安全研究人员的分析,cryptojacking软件将自己安装在此文件夹中:%AppData% Roaming Microsoft Windows Template FileZilla Server。 FileZilla是一个免费的开源应用程序,用于通过Internet传输文件。如果该目录尚不存在,则恶意软件会继续创建该目录。

目录中包含的文件包括为终止可能正在运行的任何反恶意软件进程而创建的脚本。

在东欧的某个地方……

特定加密挖掘恶意软件的安装过程涉及旨在防止检测的更多措施。有趣的是,安装过程是在西里尔语中完成的,表明创作者可能位于东部欧洲或其他使用书写系统的地方。

安装后,恶意软件将创建三个新的服务主机进程,其中一些用于在终止时重新下载恶意软件:

“第一和第二个SvcHost流程将充当监督者,最有可能保持持久性。当任何注入的svchost进程终止时,它们负责通过Powershell命令重新下载Windows Installer(.msi)文件,“趋势科技的Janus Agcaoili和Gilbert Sison在博客文章中写道。

加密挖掘恶意软件还具有自毁机制,旨在确保检测和分析变得更加困难。这是通过删除安装目录中包含的每个文件以及摆脱所有安装痕迹来实现的。

没有机会

根据趋势科技的研究人员的说法,恶意软件的创建者也采取了额外的预防措施,以避免使用WiX(一种流行的Windows安装程序)作为打包程序进行检测。

这是在各种研究表明密码劫持的发病率在全球范围内呈上升趋势的时候。正如CCN在9月份报道的那样,网络安全联盟网络威胁联盟估计今年的加密劫持率上升了459%

今年早些时候,卡巴斯基实验室表示,勒索软件攻击正在下降,这可以归结为不良演员越来越多地转向密码劫持,因为它更有利可图。

来自Shutterstock的特色图片

关注我们电报或订阅我们的通讯
谁买比特币?在这里进行调查并帮助我们进行研究。

广告


LEAVE A REPLY

Please enter your comment!
Please enter your name here