PowerGhost — новый бестелесный криптомайнер

В большей степени пострадали от его атак такие страны, как Бразилия, Колумбия, Индия и Турция. В России были зафиксированы атаки на десятки пользователей.

PowerGhost — это бесфайловый зловред, то есть он существует в оперативной памяти устройства и не нуждается в исполняемых файлах для запуска, что значительно осложняет его обнаружение. Заражение компьютера этим вредоносом происходит с помощью эксплойтов или средств удаленного администрирования.

Далее основная часть криптомайнера загружается и запускается без сохранения на жестком диске. Сразу после этого киберпреступники могут предоставить PowerGhost возможности для автоматического обновления, распространения в сети и начала криптомайнинга.

Проникнув в инфраструктуру компании, PowerGhost пытается авторизоваться в учетные записи пользователей сети через легитимный инструмент удаленного администрирования Windows Management Instrumentation (WMI). Необходимые для входа логины и пароли зловред добывает с помощью встроенного инструмента для извлечения данных — Mimikatz.

Кроме того, майнер может распространяться через эксплойт EternalBlue для Windows, который использовали авторы WannaCry и ExPetr. Теоретически эта уязвимость уже больше года как закрыта. Но на практике почему-то продолжает работать.

Попав на устройство, зловред пытается повысить свои привилегии, воспользовавшись несколькими уязвимостями ОС. После этого майнер закрепляется в системе и начинает добывать криптовалюту для своих хозяев.

Как и любой майнер, PowerGhost использует ресурсы оборудования для генерации криптовалюты. Это, с одной стороны, снижает производительность серверов и других устройств, а с другой — значительно ускоряет их износ, что влечет за собой дополнительные расходы на замену аппаратуры.

Однако по сравнению с большинством подобных программ PowerGhost сложнее обнаружить, поскольку он не загружает на устройство вредоносные файлы. А значит, он способен дольше проработать незамеченным на зараженном сервере или рабочей станции и нанести больший урон.

В одной из версий PowerGhost был также обнаружен инструмент для проведения DDoS-атак. Вероятно, злоумышленники планировали получать дополнительный заработок со своего майнинг-ботнета, предоставляя услугу DDoS.

Интересно, что зловред умеет проверять, запускается он в настоящей ОС или в «песочнице», — это позволяет ему обходить стандартные защитные решения. Примечательно, что случаи заражения новым зловредом подтвердили недавний прогноз экспертов «Лаборатории Касперского»: разработчики вредоносных криптомайнеров действительно переходят на целевые атаки с целью повышения финансовой прибыли.

Найден фрукт, укрепляющий сердце и иммунную систему


Похожие новости:
Николас Мадуро: на предпродажах криптовалюта Petro собрала $735 млн
Москва и города-спутники сокращают объем новых торговых площадей
XRP удалось задержаться на $0,65 после "зеленых выходных"
Каждый третий продавец элитной недвижимости хочет уехать из России
Рынок возрождается: XRP, BCH, EOS, LTC, ADA взлетели
"Технопром" и Bitfury снизят простои ж/д вагонов
Венеуэльцы будут коп­ить в криптовалюте "petro" и золоте
Банки Саудовской Аравии получат финансирование через RippleNet
Новак объяснил, почему нефть по $ 100 за баррель - это плохо
Песков объяснил, почему в Кремле не волнуются из-за оттока капитала из России

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *