Скрытый майнер маскируется под обновление для Adobe Flash

Исследователи из Palo Alto Networks обнаружили вредоносное программное обеспечение для скрытого майнинга криптовалюты Монеро, которое выдает себя за последнее обновление для Adobe Flash.

Фейковый софт на самом деле обновляет плагин от Adobe, однако при этом он устанавливает в систему жертвы криптомайнер XMRig, который без ведома владельца компьютера использует вычислительные мощности для добычи монет XMR для злоумышленников.

Обновления для Flash всегда пользовались популярностью среди злоумышленников, однако обнаружить их было проще. При установке этого ПО пользователь может не заметить ничего необычного.

Разработчики поддельного приложения скопировали даже всплывающее уведомление с официального сайта Adobe. И пока он, отвлекая внимание жертвы, загружает с официального сайта обновление плагина и устанавливает его, одновременно подключается к пулу xmr-eu1.nanopool.org и приступает к добыче криптомонет, нагружая процессор на 100%.

«Криптомайнер XMRig устанавливается в фоновом режиме, в то время как на переднем плане обновляется Flash Player до последней версии с помощью установщика, загружаемого с серверов Adobe», – объясняет аналитик Palo Alto Networks Брэд Дункан.

Впервые исследователи обнаружили данный зараженный софт еще в августе этого года с помощью специального инструмента AutoFocus. Они заметили имена исполняемых файлов, которые начинались с AdobeFlashPlayer. Загрузчики всегда содержат в адресной строке «flashplayer_down.php?clickid=».

Как потенциальные жертвы попадают на зараженные обновления, исследователи затрудняются сказать. Сетевой трафик в процессе заражения состоит в основном из обновления плеера.

Зараженная система генерирует HTTP POST запрос к домену osdsoft, который связан с установкой и обновлениями криптомайнеров. Позднее появляется трафик, который генерирует уже XMRig через TCP порт 14444.

О скрытом майнинге через браузеры пользователей говорят уже давно. Однако майнеры, работающие через браузеры активны только тогда, когда эти браузеры открыты. С XMRig ситуация обстоит хуже – он устанавливается как работающий сервис в операционную систему и работает постоянно после включения компьютера, потребляя при этом значительные ресурсы.

Еще в июне Palo Alto Networks подсчитала, что скрытый майнинг, не связанный с браузерами пользователей, позволил злоумышленникам заработать около 140 миллионов долларов.

Летом прошлого года компания Adobe объявила, что она прекратит поддерживать работу Flash Player к концу 2020 года. До тех пор скорее всего отдельные пользователи и дальше будут получать поддельные обновления. Как Adobe может предотвратить это, исследователи Palo Alto Networks не представляют, поскольку трафик зловредного ПО аналогичен легальным обновлениям.

Тем не менее, сами пользователи могут не допустить заражения, загружая обновления только с официального сайта Adobe. «Не стоит устанавливать программное обеспечение, когда это предлагает вам сделать всплывающее окно, появляющееся во время обычного просмотра страниц в браузере, как бы убедительно оно не выглядело», – говорит Дункан.






Добавить комментарий

Ваш e-mail не будет опубликован.

4 × 1 =