Nul
En evigt udviklende form for malware har tilføjet en ny taktik, der ser det vælge at levere ransomware eller en cryptojacker afhængig af omstændighederne i den inficerede offer.
Hvis en inficeret computer, der indeholder en bitcoin wallet, malware vil installere fil-kryptering ransomware — hvis der ikke præ-eksisterende cryptocurrency mappe og computer er i stand til minedrift cryptocurrency, en minearbejder, der vil blive downloadet og installeret med henblik på at udnytte PC ‘ ens magt for at generere cryptocurrency.
Den cryptocurrency miner er den seneste tilføjelse til Rakhni Trojan, malware familie, der har eksisteret siden 2013 og har løbende udviklet sig i løbet af de fem år, det har eksisteret. Det ser ud til, at der dem, der står bag den malware, der søger at udnytte den stigende cryptocurrency minedrift malware, mens også at kombinere det med deres traditionelle angreb.
“Det er bare endnu et eksempel på den kyniske holdning af kriminelle til deres offer. De vil i hvert fald forsøge at drage fordel af offeret: ved direkte afpresning af penge eller ved uautoriseret brug af brugerens ressourcer i deres egne behov,” Orkhan Mamedov, malware, analytiker hos Kaspersky Lab fortalte ZDNet.
Forskere ved Kaspersky Lab har analyseret Rakhni, da det først dukket op og har beskrevet sin seneste tilføjelse af en cryptocurrency miner.
Ligesom mange cyberangreb, Rakhni kampagne begynder med en phishing-mail, der er sendt ud til potentielle ofre. Netop denne kampagne sætter fokus på Rusland, med over 95 procent af ofrene i landet og spam e-mails er skrevet på russisk.
SE OGSÅ: Cryptocurrency-mining malware: Hvorfor det er sådan en trussel, og hvor det kommer næste
I dette tilfælde e-mails er designet til at ligne meddelelser vedrørende finansielle dokumenter og komme med en vedhæftet fil i Microsoft Word, som en ondsindet payload venter. Brugeren opfordres til at aktivere redigering, så nyttelast kan drage fordel af de makroer, der er nødvendige for at sikre en infektion.
Offeret er derefter opfordret til at åbne en indbygget PDF, som ikke er lanceret — med en skadelig eksekverbar at blive lanceret i stedet og brugers computer bliver inficeret med malware. Der vises en fejlmeddelelse for at undgå, at brugeren bliver mistænksom over manglen på en PDF, der åbnes.
Når det er installeret, Rakhni udfører miljømæssige kontrol på den kompromitterede computer for at støtte det kommer til beslutningen om at installere ransomware eller en minearbejder.
Hvis en cryptocurrency tegnebog er allerede på computeren, ransomware, vil blive hentet og udføres på maskine-men kun, når computeren har været inaktiv i to minutter-hvilket resulterer i filer, der er krypteret med a ‘.neitrino ” udvidelse.
Ofrene er præsenteret med en løsesum bemærk skrevet på russisk, som kræver betaling i tre dage og en e-mail kontakt adresse for angriberen.
Den Rakhni løsesum bemærk – med kommentering fra forskere.
Billede: Kaspersky Lab
“Løsepenge bemærk, advarer det offer, som ved hjælp af tredjeparts-decryptors kan beskadige filer og endda den oprindelige decryptor ikke ville være i stand til at dekryptere dem. Den sidste sætning i løsesum bemærk, fortæller offeret, at alle henvendelser vil blive behandlet af et automatisk system,” sagde Mamedov.
Men på trods af denne trussel, dekryptering værktøjer til Rakhni er tilgængelige.
SE OGSÅ: Ransomware: executive-guide til en af de største trusler på nettet
Hvis ingen konto på maskinen, en minearbejder, der er hentet i stedet — og det ser ud til at være i stand til at udnytte kraften af ofrets processor til at give angriberne med enten Monero eller Dashcoin cryptocurrency — som de er meget lettere at udvinde end bitcoin er, sammen med at give yderligere anonymitet.
For at skjule, at de miner som en pålidelig proces, angriberen underskriver det med en falsk Microsoft Corporation certifikat.
I tilfælde af, at betingelser på den kompromitterede maskine ikke anses for acceptabel for enten at installere ransomware eller en minearbejder, Rakhni har endnu et trick oppe i ærmet: det bruger en orm-lignende funktion i et forsøg på at kopiere sig selv til andre maskiner på netværket og frigøre sin ondsindede aktiviteter.
På trods af en afmatning i infektioner, ransomware er stadig en succes betyder for cyber-kriminelle til at tjene penge — men tilføjelsen af miner viser, at dem, der står bag Rakhni er åbne over for nye angreb teknik, især når de er så subtile som minedrift.
“Vi mener, at den kriminelle har valgt at mine valgte lad os starte på grund af to grunde: de er rentable, mens minedrift på CPU’ en, og de giver høj anonymitet,” sagde Mamedov.
“Det faktum, at malware kan beslutte, nyttelast, som det bruger til at inficere offerets giver endnu et eksempel på den opportunistiske taktik, der anvendes af cyberkriminelle,” tilføjede han.
LÆS MERE OM IT-KRIMINALITET
Japan spørgsmål første nogensinde fængselsstraf i cryptojacking tilfældet,Hvorfor cryptomining er den nye ransomware, og virksomheder skal forberede sig til det (TechRepublic)Denne ransomware blev omskrevet til mine cryptocurrency – og ødelægge dine filerFalske cryptocurrency app installerer ransomware på din computer (CNET)WannaCry ransomware krise, et år på: Er vi klar til den næste globale cyber-angreb?
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0