Изследователи разкриват порочните практики за крипто добив на Ботмрежите

Киберпрестъпниците- отговорни за криптодобива в бот мрежата Stantinko са измислили някои гениални методи за да не бъдат открити.

В публикация от блога си озаглавена -„Престъпниците зад Stantinko botnet непрекъснато се подобряват и разработват нови модули, които често съдържат нестандартни и интересни техники“- анализаторът на злонамерен софтуер от фирмата за киберсигурност ESET- Владислав Хрчка (Vladislav Hrčka) звучи почти впечатлен след последните разкрития и потенциални противодействия на ESET.

Полумилионният и мощен ботнет е активен от 2012 г. и се разпространява чрез злонамерен софтуер, вграден в пиратско съдържание. Насочен е главно към потребители от Русия, Украйна, Беларус и Казахстан. Първоначално ботнет се фокусира върху клик-измамата , рекламната инжекция, измами в социалните мрежи и кражбата на пароли. За всеобща изненада, в средата на 2018 г. с добивния модул Monero добави и криптовалутата към своя арсенал .

Task Manager няма да помогне

Модулът има компоненти, които откриват софтуер за защита и изключват всички конкурентни криптоминни операции. Изтощеният вече модул изчерпва повечето от ресурсите , но умело спира криптодобива, за да избегне засичането на точния момент,в който потребителят отваря Task Manager, за да разбере защо компютърът работи толкова бавно.

CoinMiner.

Stantinko не комуникира директно с минния басейн, вместо вместо това използва прокси сървъри, чиито IP адреси са получени от текста в описанието на видеоклипове в YouTube.

Техники за непрекъснато усъвършенстване

ESET публикува първия си доклад за криптовалутния модул през ноември миналата година, но оттогава бяха добавени нови техники за предотвратяване на лесното откриване, включително:

  • Oбфуциране на низовете (Obfuscation of strings) – значими нишки ,неизменна част от паметта ,проектирани да действат когато тя е в експлоатация.
  • Мъртви низове и ресурси ( Dead strings and resources ) – добавяне на ресурси и низове без отражение върху функционалността им.
  • Обфускиране на контролния поток ( Control-flow obfuscation ) – трансформация на контролния поток в труден за разшифроване формат, което прави реда на изпълнение на основните блокове непредсказуем .
  • Мъртъв код ( Dead code ) – код, който никога не се изпълнява, като единствената цел е да направи файловете да изглеждат по-легитимни .
  • Do-nothing код ( Do-nothing code ) – добавяне на код, който се изпълнява, но не прави нищо. Това е начин за заобикаляне засичането на поведенчески особености.

В доклада от ноември Hrčka отбеляза : „Най-забележителната характеристика на този модул е ​​начинът, по който е объркан, за да осуети анализа и да предотврати евентуално откриване. Поради използването на обфуксации на ниво източник, с помощта на нотка случайност и на факта, че операторите на Stantinko съставят този модул за всяка нова жертва, всяка извадка от модула е уникална. “

Уеббазираното криптиране намалява след срива на Coinhive

Tази седмица изследователи от университета в Синсинати и Лейкхед в Онтарио, Канада издадоха публикация, под заглавието- „Дали криптирането е мъртво след изключването на Coinhive?“

Скриптът на Coinhive бе инсталиран в уебсайтове и дали явно, или не – добиваше Monero до големия спад в цената на Monero по време на „крипто зимата“,който го направи нерентабилен и операцията беше спряна.

Научни изследователи провериха дали все още са заразени 2770-тте уебсайта,набедени за употребата на криптовалутни скриптове. Докато 11,6% все още изпълняваха скриптове на Coinhive , 1% активно извличаха криптовалута, като се опитваха да се свържат с отказалите сървъри .

Изследователите заключиха: Сривът на Coinhive не е краят за Криптоджакингa . Той е все още активен, но не и апетитен колкото преди. Той стана по-малко привлекателен не само защото Coinhive преустанови услугата си, но и защото стана много по-малко доходоносен източник на приходи за собствениците на уебсайтове. За повечето сайтове рекламите са все още по-печеливши от криптодобива . “

Източник https://cointelegraph.com/news/researchers-reveal-crypto-mining-botnets-sneaky-tactics

Leave a Reply