Noll
Cryptojacking, kapning av Datorer och system för att stjäla processorkraft för att i hemlighet mig för cryptocurrency, är på väg att bli en nagel i ögat för individer och företag.
En av tre organisationer nu säger att de har varit måltavla för cryptocurrency gruv-malware.
Universitetet var nyligen tvungen att stänga ner hela nätet för att stoppa en cryptojacking attack, och i Japan, den första fängelsestraff har utfärdats i landets historia i relation till en crypjacking system.
Cryptojacking, vilket oftast innebär gruvdrift för Monero (XMR) och Ethereum (ETH), kan vara svårt att upptäcka om CPU-användning stöld är begränsad, och som medel överförs till angriparen plånböcker i real-tid, dessa tekniker blir mer och mer populärt med attacker som kan ha tidigare förlitat sig på ransomware, som inte är garanterat att ge en olaglig utbetalning.
På torsdag, forskare från Check Point sade i ett blogginlägg att en sådan form av cryptomining malware, känd som KingMiner, för första gången i juni i år och är nu ute i det vilda som en ny och förbättrad variant.
Malware är i allmänhet avsedd för IIS/Microsoft SQL-Servrar med brute-force attacker för att få referenser som är nödvändiga för att angripa en server. När du har beviljats tillgång .sct Windows Skriptlet-fil hämtas och körs på offrets maskin.
Detta script söker och identifierar CPU-arkitektur av maskinen och hämtar en nyttolast som är skräddarsydda för CPU-användning. Nyttolasten verkar vara en .zip-men är faktiskt en XML-fil som forskarna säger att “kringgå emulering försök.”
Det är värt att notera att om äldre versioner av attacken filer som hittas på offrets dator, dessa filer kommer att tas bort av ny infektion.
CNET: Hemlig Facebook-FBI dom måste offentliggöras, ACLU och EFF säga
När extraherade, malware nyttolast skapar en uppsättning av nya nycklar i registret och genomför en XMRig miner fil, utformad för gruvdrift Monero.
Gruvarbetare är konfigurerad för att använda 75 procent av CPU kapacitet, men eventuellt på grund kodning fel, faktiskt kommer att använda 100 procent av PROCESSORN.
För att göra det svårare att spåra eller att utfärda attribution hotet skådespelare, KingMiner gruv pool har gjorts privat och API har varit avstängd. Dessutom plånboken har aldrig använts i publika gruv-pooler, och så är det inte möjligt för forskarna att veta vilka domäner finns i använda — eller hur många Monero mynt har brutits genom attacker.
TechRepublic: Hur teknisk ledare på företag kan vara mer inkluderande
Men, Check Point har spårat “utbredd” infektioner från Mexiko och Indien och Norge till Israel.
Den nya versionen av KingMiner byggs ut med två andra varianter, och malware är operatörerna verkar vara att ständigt förbättra skadlig programvara-med ett särskilt fokus på att undvika emulering och upptäcka.
Se även: Denna mask sprider sig en fileless version av Trojan Bladabindi
“Bedragaren använder olika skatteflykt tekniker för att kringgå emulering och metoder för upptäckt, och, som ett resultat av flera upptäckt motorer har noterat kraftigt reducerade priser upptäckt,” it-företaget säger. “Baserat på vår analys av sensor-loggar, det är en stadig ökning i antalet KingMiner attack försök.”
Check Point säger att inom KingMiner kod, det finns också ett stort utbud av platshållare i koden för framtida uppdateringar, och så malware kan bli en vanligare hot i framtiden.
Tidigare och relaterade täckning
Atrium Hälsa dataintrång utsatt 2.65 miljoner patientjournaler Andra gången gillt: Cisco skjuter fix för misslyckats Webex sårbarhet patch Pegasus gov ‘ t spionprogram används för att rikta kollega slagna av narkotika kartell journalist
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0