Специалисты компании «Доктор Веб» выявили масштабную вредоносную кампанию, нацеленную на скрытый майнинг криптовалюты Monero. Злоумышленники применяют передовые методы маскировки, включая стеганографию — технику сокрытия вредоносного кода внутри файлов изображений формата BMP.
Эволюция вредоносной кампании
Исследование показало, что кампания активно развивается с 2022 года. Изначально атаки осуществлялись через .NET-приложение Services.exe, запускающее VBscript-сценарий с функциями бэкдора. Вредоносное ПО загружает на компьютеры жертв майнер SilentCryptoMiner, маскируя его под легитимные программы, включая клиент Zoom и системные службы Windows.
Инновационное использование стеганографии
В последней итерации атаки злоумышленники усовершенствовали методологию, внедрив стеганографию. Новая цепочка заражения использует троян Amadey для запуска PowerShell-скрипта, который загружает BMP-изображения с легитимного хостинга imghippo.com. Из этих изображений извлекаются вредоносные компоненты, включая стилер Trojan.PackedNET.2429.
Технические особенности и масштаб операции
Злоумышленники активно используют легитимные платформы, включая популярные хостинги изображений и GitHub, для размещения вредоносных компонентов. Новые версии малвари содержат механизмы обнаружения виртуальных машин и песочниц, что усложняет анализ угрозы. Финансовый анализ показал впечатляющие масштабы операции — один из связанных криптокошельков содержит около 340 XMR, что эквивалентно 6-7,5 миллионам рублей.
Анализ жертв и эффективность майнинга
Исследование хешрейта указывает на то, что основными жертвами являются обычные пользователи, находящиеся в одном часовом поясе. При среднем хешрейте в 3,3 миллиона хешей в секунду, зараженные машины генерируют примерно 1 XMR каждые 40 часов работы.
Данная кампания демонстрирует растущую изощренность киберпреступников в использовании легитимных ресурсов и передовых технологий сокрытия вредоносного кода. Для защиты рекомендуется использовать современные антивирусные решения, регулярно обновлять программное обеспечение и внимательно следить за производительностью компьютера, которая может указывать на несанкционированный майнинг.
