Дослідник шкідливого програмного забезпечення Джош Грюнцвейг з компанії Palo Alto Networks визначив 470 000 унікальних зразків шкідливих програм, через які здійснюється прихований майнінг монет на чужих комп'ютерах. 84 відсотки таких зразків спрямовані на видобуток Monero (XMR).
Дослідник вирішив з'ясувати, скільки шкідливих програм за весь час було ідентифіковано на платформі WildFire компанії Palo Alto Network. В результаті він зібрав 629 126 зразків шкідливих програм і проаналізував 3 773 електронних листи, які використовувалися для підключення до майнінг-пулів. Грюнцвейг виявив посилання на 2341 гаманця Monero; 981 гаманець Bitcoin (BTC); 131 гаманець Electroneum (ETN), 44 гаманці Eteight (ETH) та 28 гаманців Litecoin (LTC). Через 531 663 програм видобували монету Monero. Прибуток зловмисників від такого видобутку склав майже 144 мільйони доларів. Майже всі ці пули дозволяють анонімно переглядати статистику на основі гаманця як ідентифікатор. Цей анонімний перегляд є навмисним, оскільки він дозволяє анонімно підключатися і використовувати різні майнінгові пули без введення будь-якої особистої інформації, що ідентифікується.
Перевіривши вісім найбільших установок відповідно до 2 341 адреси гаманців Monero, дослідник зміг точно визначити, скільки монет Monero. Дивлячись на самі майнінг-пули, а не на blockchain, можна точно сказати, скільки монет було видобуто, без урахування монет, які потрапляли в гаманці з інших джерел.
Виявлення майнінгових пулів, встановлених через шкідливу програму, є складним завданням, оскільки багато авторів шкідливих програм обмежують навантаження на процесор або здійснюють видобуток лише у певний час, коли користувач неактивний. Крім того, сама шкідлива програма встановлюється за допомогою різних методів.
Клієнти компанії Palo Alto Networks мають у своєму розпорядженні низку засобів для боротьби з цією загрозою у своїх мережах, включаючи пастки та системи виявлення Wildfire. Крім того, можна використовувати спеціальні програми, які визначають активність криптовалютних операцій.
За матеріалами cbronline
Читайте також
Криптовалютні біржі атакують через документи Hangul Word Processor
За даними компанії з кібербезпеки AlienVault, автором заражених документів HWP, що використовуються в недавніх атаках на біржі, є група Lazarus, яку фінансують державні структури Північної Кореї.
Бот-мережі перейшли від DDoS-атак на прихований майнінг
У міру наближення до кінця 2018 року багато фірм, що займаються кібербезпекою, випускають річні звіти, в яких докладно викладаються поширені загрози за рік і повідомляють інтернет-користувачам про те, що слід очікувати в майбутньому.
