Фахівці з кібербезпеки виявили масштабну шкідливу кампанію, спрямовану на прихований майнінг криптовалюти Monero. Особливістю атаки є використання передових методів маскування, включаючи стеганографію – технологію приховування шкідливого коду всередині звичайних BMP-зображень.
Механізм та розвиток кіберзагрози
Дослідження показує, що кампанія активно розвивається з 2022 року, постійно вдосконалюючи методи зараження. Початкова версія використовувала .NET-застосунок Services.exe для запуску шкідливого VBScript-сценарію. Зловмисники поширюють криптомайнер SilentCryptoMiner, маскуючи його під легітимні програми, зокрема клієнт Zoom та системні служби Windows.
Інноваційне застосування стеганографії в кібератаках
У новій ітерації атаки впроваджено стеганографію як ключовий елемент маскування. Ланцюг зараження починається з трояна Amadey, який запускає PowerShell-скрипт для завантаження BMP-зображень з хостингу imghippo.com. З цих файлів видобуваються шкідливі компоненти, включаючи викрадач даних Trojan.PackedNET.2429.
Масштаби та фінансові показники операції
Зловмисники активно використовують легітимні платформи, включаючи популярні хостинги зображень та GitHub. Аналіз пов’язаного криптогаманця показав значні масштаби операції – баланс складає близько 340 XMR (приблизно 6-7,5 мільйонів рублів). При середньому хешрейті 3,3 мільйона хешів на секунду, заражені комп’ютери генерують близько 1 XMR кожні 40 годин роботи.
Технічні особливості та захист
Нові версії шкідливого ПЗ містять механізми виявлення віртуальних машин та пісочниць, що ускладнює аналіз загрози. Географічний аналіз жертв вказує на концентрацію в одному часовому поясі, що свідчить про цільову природу атак.
Для захисту від подібних загроз рекомендується використовувати сучасні антивірусні рішення з регулярними оновленнями, моніторити продуктивність системи та звертати увагу на незвичну активність процесора. Важливо також регулярно перевіряти систему на наявність несанкціонованих процесів та підозрілої мережевої активності, яка може вказувати на прихований майнінг криптовалют.
