Microsoft рассказала, что такое криптоджекинг и описала кампанию обновленного вредоносного ПО.

Согласно отчету исследовательской группы Microsoft 365 Defender, криптоджекеры продолжают атаковать компьютеры по всему миру и становятся более скрытными.

Криптоджекеры представляют из себя вредоносное ПО, которое внедряется в компьютер и использует ресурсы устройства жертвы для получения выгоды без ведома пользователя. Криптоджекеры являются одной из категорий угроз, которые появились и процветают с момента появления криптовалют. За последний год компании столкнулись с миллионами криптоджекеров.

Согласно Microsoft, JavaScript часто используется при создании криптоджекеров , которые в описанном случае используют браузеры для проникновения в системы. Microsoft также предупредил о существовании бесфайловых криптоджекеров, которые майнят в памяти устройства и сохраняют постоянство, злоупотребляя легальными программами и LolBins.

Киберпреступники часто используют «notepad.exe» в своих кампаниях. В описанной Microsoft кампании использовалась улучшенная версия криптоджекера Mehcrypt.

Новая версия объединяет все свои подпрограммы в один сценарий и подключается к C2-серверу на последнем этапе цепочки атак.

Средством доставки угрозы служит архив, содержащий «autoit.exe» и сильно замаскированный скрипт с произвольным названием и расширением «.au3». Autoit.exe запускается при открытии файла архива и декодирует AU3-скрипт в памяти.

Когда скрипт выполняется, он продолжает декодировать дополнительные «слои» обфускации и загружает в память новые декодированные скрипты. Затем скрипт помещает свою копию и файл autoit.exe в папку с произвольным именем в папке «C: ProgramData».

Чтобы запускать сценарий при каждом запуске устройства, скрипт вставляет записи реестра автозапуска и создает запланированное задание для уничтожения исходных файлов.

Затем ПО сохраняется, загружает вредоносный код в «VBC.exe» с помощью очистки процессов и устанавливает соединение с C2-сервером для ожидания команд. ПО загружает свой код криптоджекинга в «notepad.exe», используя очистку процесса на основе ответа C2-сервера.

Источник: securitylab