Хакеры начали устанавливать вредоносное ПО для скрытого майнинга криптовалюты вместе с инсталлятором Windows. Об этом говорится в отчете компании по кибербезопасности Trend Micro.
Ее специалисты обнаружили Coinminer, который использует ряд методов обфускации.
«Вредоносная программа поступает на компьютер жертвы как файл MSI для Windows Installer, что довольно интересно, потому что Windows Installer — это легитимное приложение, используемое для установки программного обеспечения. Использование реального компонента Windows делает его менее подозрительным и потенциально позволяет обойти определенные фильтры безопасности», – говорится в сообщении.
Исследователи отмечают, что после установки каталог вредоносных программ содержит различные файлы для «отвода глаз». Помимо прочего, программа установки имеет скрипт, который противодействует любым процессам защиты от вредоносных программ на компьютере, а также работе майнингового модуля.
Исследователи также отметили, что вредоносное ПО имеет встроенный механизм саморазрушения.
«Чтобы усложнить обнаружение и анализ, вредоносное ПО поставляется с механизмом саморазрушения. Оно удаляет каждый файл под установочным каталогом и удаляет любые следы установки в системе», – говорится в отчете.
Хотя Trend Micro не удалось связать атаку с конкретной страной, но она отмечает, что инсталлятор использует русский язык.
Напомним, что в апреле этого года они же обнаружили на Android:
Новый скрытый майнер добывает Monero на Android-устройствах. Специалисты из Trend Micro обнаружили новый скрытый майнер HiddenMiner, который маскируется под приложение для обновления Google Play. После активации он в качестве администратора в фоновом режиме добывает на Android-устройстве криптовалюту Monero.
В феврале этого года еще одна исследовательская компания 360Netlab обнаружила вирус, который добывал криптовалюту Monero не только на телефонах, но и планшетах, и даже телевизорах, работающих на базе ОС Android. Его жертвами также в большинстве случаем стали жители Китая и Индии — 39% и 39%.