Прихований майнінг все популярнішим: зафіксовані нові атаки в Єгипті, Росії, Туреччині та Україні

Citizen Lab, міждисциплінарна лабораторія в Університеті Торонто, опублікувала
у п’ятницю звіт, в якому йдеться, що уряд Єгипту таємно майнит кріптовалюти на комп’ютерах своїх громадян. У звіті пояснюється, що пристрої Deep Packet Inspection (DPI) компанії Sandvine/Procera Networks використовувалися для прихованого збору грошей за рахунок афілійованих оголошень і майнінгу криптовалют в Єгипті».

Sandvine Corporation була придбана у вересні минулого року приватної акціонерної фірмою Francisco Partners, яка купила Procera Networks у 2015 році. Потім Sandvine і Procera Networks об’єдналися і випускали програмне забезпечення для фільтрації сайтів Packetlogic, яка, як повідомляється в звіті, «можливо, було використано компаніями, пов’язаними з урядом Туреччини і Єгипту, для поширення шпигунських програм».

Крім того, Citizen Lab також виявила, що програмне забезпечення встановлює принаймні один криптовалютный скрипт – Coinhive, який використовується для майнінг анонімної кріптовалюти Monero (XMR). Завдяки сканування IP-адрес в деяких країнах, дослідники виявили пристрою DPI, називаються проміжними пристроями, які перехоплюють трафік мережі Turk Telekom між користувачами і різними незашифрованими веб-сайтами.

Ці пристрої були використані для перенаправлення сотень користувачів в Туреччині та Сирії на скачування державних шпигунських програм, коли вони намагалися завантажити певні програми для Windows», – уточнили дослідники. В Єгипті команда виявила не тільки шпигунське ПЗ:

«Ми знайшли аналогічні проміжні пристрої в точці розмежування Telecom Egypt. Пристрої використовувалися для перенаправлення користувачів десятків інтернет-провайдерів на афілійовані оголошення і скрипти для криптовалютного майнінг».

Дослідники назвали єгипетську схему Adhose. За їх твердженнями вона працює принаймні з жовтня 2016 року. Citizen Lab відправила листа Sandvine та Francisco Partners, в яких вони узагальнили свої висновки в лютому цього року. У своїй відповіді Sandvine стверджує, що звіт «помилковий, що вводить в оману і невірний». Проте в лабораторії стверджують: «Ми підкреслили, що були впевнені в наших результатах досліджень, підтверджених двома незалежними експертними оцінками».

Атака на користувачів Росії, Туреччини та України

Більше 400 000 персональних комп’ютерів були атаковані в рамках спроби поширення шкідливого ПО для майнінг криптовалют. Хакери використовували складні трояни для зараження ПК в основному в Росії, але також у Туреччині, Україні та інших країнах. Комплексне шкідливе ПО намагалося протистояти антивірусного захисту більше 12 годин 6 березня. За даними Microsoft, більшість атакованих комп’ютерів – 73%, перебували в Росії, 18% – Туреччини, 4% – в Україні. Інші країни також постраждали.

«Захисник Windows заблокував понад 80 000 спроб кількох складних троянів, в яких були представлені передові методи впровадження перехресних процесів, механізми стійкості і методи обходу», – заявила дослідницька група, яка розробляє програмне забезпечення Microsoft.

Більше 400 000 користувачів зазнали нападу, повідомляє Bleeping Computer. Дослідники стверджують, що ідентифікували атаку троянами на ранній стадії. Загроза була виявлена за допомогою антивірусної програми, яка почала блокувати подальші спроби протягом декількох хвилин.

Згідно команді розробників Windows defender, шкідлива програма Dofoil намагалася проникнути в процес explorer.exe і впровадити шкідливий код. Потім інший explorer.exe повинен був завантажити і запустити майнер криптовалют, замаскований під файл Windows wuauclt.exe. Антивірусне програмне забезпечення змогло виявити ці спроби, оскільки процес виконувався з іншого місця на жорсткому диску.

Microsoft стверджує, що комп’ютери з ОС Windows 10, 8.1 і Windows 7 зі встановленим Захисником Windows або Microsoft Security Essentials були захищені автоматично. Згідно Bleeping Computer, інші антивірусні програми, швидше за все, також виявили загрозу. Dofoil – активна модифікація шкідливого ПО, відома вже кілька років.

Прихований майнінг – вельми прибуткова для шахраїв справу, користується популярністю у хакерів з усього світу вже не перший рік. У жовтні минулого року компанія Adguard проаналізувала 100 000 найпопулярніших сайтів на предмет наявності прихованих скриптів для майнінг криптовалют і заявила, що жертвами прихованого майнінгу стали вже півмільярда чоловік.

Источник

Залишити коментар

Adblock detector
Читайте ранее:
Чотири фінських банку відмовилися співпрацювати з криптобиржей Prasos Oy

Одна з найбільших скандинавських криптовалютных бірж, фінська Prasos Oy, повідомила про відмову чотирьох фінських банків співпрацювати з нею та її...

Закрыть