PowerGhost — новый бестелесный криптомайнер

В большей степени пострадали от его атак такие страны, как Бразилия, Колумбия, Индия и Турция. В России были зафиксированы атаки на десятки пользователей.

PowerGhost — это бесфайловый зловред, то есть он существует в оперативной памяти устройства и не нуждается в исполняемых файлах для запуска, что значительно осложняет его обнаружение. Заражение компьютера этим вредоносом происходит с помощью эксплойтов или средств удаленного администрирования.

Далее основная часть криптомайнера загружается и запускается без сохранения на жестком диске. Сразу после этого киберпреступники могут предоставить PowerGhost возможности для автоматического обновления, распространения в сети и начала криптомайнинга.

Проникнув в инфраструктуру компании, PowerGhost пытается авторизоваться в учетные записи пользователей сети через легитимный инструмент удаленного администрирования Windows Management Instrumentation (WMI). Необходимые для входа логины и пароли зловред добывает с помощью встроенного инструмента для извлечения данных — Mimikatz.

Кроме того, майнер может распространяться через эксплойт EternalBlue для Windows, который использовали авторы WannaCry и ExPetr. Теоретически эта уязвимость уже больше года как закрыта. Но на практике почему-то продолжает работать.

Попав на устройство, зловред пытается повысить свои привилегии, воспользовавшись несколькими уязвимостями ОС. После этого майнер закрепляется в системе и начинает добывать криптовалюту для своих хозяев.

Читайте также:  Для пострадавших клиентов "Югры" открылись офисы в девяти городах

Как и любой майнер, PowerGhost использует ресурсы оборудования для генерации криптовалюты. Это, с одной стороны, снижает производительность серверов и других устройств, а с другой — значительно ускоряет их износ, что влечет за собой дополнительные расходы на замену аппаратуры.

Однако по сравнению с большинством подобных программ PowerGhost сложнее обнаружить, поскольку он не загружает на устройство вредоносные файлы. А значит, он способен дольше проработать незамеченным на зараженном сервере или рабочей станции и нанести больший урон.

В одной из версий PowerGhost был также обнаружен инструмент для проведения DDoS-атак. Вероятно, злоумышленники планировали получать дополнительный заработок со своего майнинг-ботнета, предоставляя услугу DDoS.

Интересно, что зловред умеет проверять, запускается он в настоящей ОС или в «песочнице», — это позволяет ему обходить стандартные защитные решения. Примечательно, что случаи заражения новым зловредом подтвердили недавний прогноз экспертов «Лаборатории Касперского»: разработчики вредоносных криптомайнеров действительно переходят на целевые атаки с целью повышения финансовой прибыли.

Найден фрукт, укрепляющий сердце и иммунную систему


Похожие новости:
2 марта ожидается форк Callisto от криптовалюты Ethereum Classic
Десятая часть элитной «первички» находится в районе Арбат
Сроки строительства по реновации сократятся на 80 дней
Империя Маска рушится: Tesla падает в бездну
Загородная "элитка" переходит на рубли
Цены на жилье выросли больше всего на востоке Москвы
Криптоветеран уверен в скором восстановлении биткоина
Иосиф Пригожин уже смирился с повышением НДС
Spiegel назвал IT-технологии главным экономическим успехом России
В пресс-службе "Конкорда" опровергли связь Евгения Пригожина и "Московского школьника...

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *