Согласно отчету, опубликованному американо-израильским поставщиком кибербезопасности Check Point Software Technologies, активная кампания вредоносного ПО для майнинга криптовалют умудрялась оставаться незамеченной в течение многих лет, заразив более 111 000 пользователей в Германии, Израиле, Польше, США и других странах.
Злоумышленники расставляют ловушки для жертв на таких веб-сайтах, как Softpedia, где размещают бесплатное программное обеспечение. Они обманом заставляют их скачивать десктопные версии таких сервисов, как YouTube Music и Microsoft Translator. Попались? На самом деле у этих сервисов нет официальных настольных версий. Кампания, которая находилась в поле зрения в течение многих лет, как сообщается, связана с турецким разработчиком программного обеспечения под названием Nitrokod, который утверждает, что предлагает бесплатное программное обеспечение.
Ему удавалось оставаться незамеченным в течение такого длительного периода времени из-за сложного многоэтапного процесса заражения. Благодаря отсрочке выполнения вредоносного ПО на несколько недель после установки и удалению всех следов чрезвычайно сложно связать вредоносное ПО с конкретной злополучной установкой.
После запуска вредоносная программа запускает скрытый процесс по добыче криптовалюты Monero (XMR), подключаясь к своему командно-контрольному серверу и получая XMRig, инструмент майнинга с помощью процессора. Чтобы убедиться, что вредоносное ПО остается активным, устанавливается запланированная задача для запуска XMRig каждый день.
Check Point утверждает, что даже неискушенные пользователи способны получить доступ к необходимому набору инструментов, который можно установить всего за несколько кликов.
Monero остается неоспоримым фаворитом у криптоджекеров из-за его функций анонимности. Исследование 2019 года показало, что на незаконный майнинг приходится до 4% общего оборота XMR.
