Нови crypto jacking заплахи бяха открити от излседователи по кибер сигурност от Акронис.

Повече разкрития, отколкото се очакваше

Изследователите от акронис откриха десетки нови crypto jacking заплахи от цял свят. Сред добре познатите стандартни миньори бяха xmr–stak–cpu.exe, миньорът на Claymore CryptoNote CPU Miner, rhminer и xmrig Monero miner. Наред с тези легитимни щамове бяха открити и няколко нови проби от зловреден софтуер както и легитимни процеси.

Обикновено, когато антивирусните решения откриват crypto jacking заплахи, е трудно да се определи дали процесът е бил легитимен или е не. Това е така, защото антивирусните решения автоматично отговарят на всеки инцидент. С решения за сигурност където потребителят трябва да действа при всяко откриване, така можем да се установи дали даден инцидент е бил атака или легитимен процес. Въоръжени със събрани телеметрични данни от хилядите им потребители телеметрични данни, изследователите открили, че повече от 60% от засечените през първия месец crypto jacking дейности са били незаконни – след като са били спрени от потребител, който по-късно не ги е добавил в белия списък.

Заплахи от познати лица

Сред откритите заплахи около 20% са всъщност уникални видове зловреден софтуер, които никога не са били виждани досега. Най-интересната част обаче включва разкривания, които първоначално приличат на фалшиви аларми. Само за една седмица получихме следните открития:

notepad.exe – един уникален хеш, един инцидент

attrib.exe – две уникални хешове, четири инцидента

svchost.exe – един уникален хеш, два инцидента

vbc.exe – един уникален хеш, три инцидента

chrome.exe – два уникални хеша, два инцидента

Popcorn-Time.exe – два уникални хеша, 12 инцидента

java.exe – един уникален хеш, един инцидент

setup.exe – две уникални хеши, 93 инцидента

Изследователите на Acronis са прекарали известно време в разследване на тези случаи, особено на „setup.exe“, който е имал най-много инциденти. Оказва се, че тези случаи се дължат на троянски коне, които вече са на машините на потребителите. Разчитайки само на „setup.exe“ е било трудно, тъй като „setup.exe“ е валиден Microsoft изпълним файл, затова те проверили всички тези случаи, като са сравнили други телеметрични записи от един и същ клиент (записи изпратени от същия IP адрес). Оказва се, че тези клиенти генерират и много други засечени заплахи.

Проучването откри записи за защита на файлове, както и за криптиране на записи в редица различни изпълними файлове и някои от тези изпълними файлове са идентифицирани като злонамерени, проби във VirusTotal.

Това изследване ясно показва, че много злонамерени crypto jacking заплахи днес се инжектират в легитимно подписани процеси, като ги използват като гостоприемник, за да се избегне откриването. Това, което е най-тревожно, е, че този подход работи – тези миньори не се откриват от много анти-вирусни решения.

Източник: По материали от интернет