Trend Micro предупреждает: новую угрозу довольно трудно обнаружить, так что на всякий случай проверьте актуальность ваших обновлений ПО и не забывайте об антивирусе.

Новый хакерский инструмент для скрытого майнинга стремительно распространяется по сети, подтвердили исследователи из аналитической компании Trend Micro. Вредоносная программа, обнаруженная в конце января, представляет собой совокупность двух угроз, ранее уже атаковавших пользователей Microsoft Windows: MIMIKATZ и RADMIN.

«В период с последней недели января по февраль мы заметили увеличение количества попыток установки хакерских утилит, при которых казалось бы случайные файлы попадали в каталог Windows», – говорится в сообщении в блоге. – «Изначально было трудно проследить связь, но анализ функций этих утилит показал, что они представляют собой вариант вредоносного ПО для майнинга криптовалюты Monero (XMR)».

Исследователи поясняют:

«Использование MIMIKATZ и RADMIN позволяет злоумышленникам распространять вредоносные программы для скрытого майнинга с «червеобразным» поведением, целясь в критические уязвимости в конкретных отраслевых системах без риска немедленного обнаружения».

Сообщается, что вирус сканирует систему на наличие открытого порта 445 и использует уязвимость Windows SMB Server MS17-010 (исправлена ​​в 2017 году) для своих программ заражения и распространения, ориентированных на компании в Китае, Тайване, Италии и Гонконге.

Надо заметить, что MIMIKATZ использовался с другими инструментами взлома и вредоносным ПО в предыдущих подпрограммах для сбора учетных записей пользователей и системы, в то время как инструменты RADMIN злоумышленники ранее использовали для получения прав администратора и других вредоносных действий в целевых системах. Однако такая комбинация RADMIN и MIMIKATZ становится проблемой для экранирования данных корпоративных активов и информации из-за случайно названных и, казалось бы, допустимых функций Windows, которые могут остаться незамеченными.

Примечательно, что сам выявленный образец вредоносного ПО не загружает майнер XMR. Вместо этого полезная нагрузка вредоносного программного обеспечения майнера удаленно загружается и сбрасывается с помощью команды, отправленной через RADMIN на целевую машину. При использовании устаревшего программного обеспечения, модульная структура этой полезной нагрузки может уступить место и другим модульным вредоносным программам.

Наибольшее количество зараженных машин выявлено в Китае и на Тайване, что может быть косвенно связано с недавно прошедшими масштабными празднованиями китайского Нового года, когда активность вредоносного ПО некому было обнаружить.

В качестве борьбы с угрозами Trend Micro предсказуемо рекомендовал пользоваться антивирусами и вовремя загружать обновления систем и программ от доверенных поставщиков ПО. Аналитики обоснованно подозревают, что киберпреступники, стоящие за внедрением этого вредоносного ПО, разрабатывали модульную структуру с целью заразить как можно больше систем для будущих крупномасштабных атак с использованием расширенных привилегий, удаленного доступа и украденных учетных данных. Хотя сам почерк хакеров указывает на то, что они пока лишь оттачивают свой набор криминальных навыков, поскольку ни в инструментах, ни в принципе их комбинации нет ничего принципиально нового и требующего больших навыков программировнания.

Новость, впрочем, вряд ли станет большим сюрпризом для криптосообщества, за последний год столкнувшегося с целым рядом разнообразных вирусных угроз, направленных на скрытый майнинг Monero. Анонимность этой валюты и сравнительная легкость добычи по-прежнему делает ее №1 в сообществе киберпреступников. По последним данным, почти 5% всех монет XMR были добыты именно таким, не вполне легальным способом.