Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев рассказал в блоге компании об интересной тенденции, замеченной в киберкриминальной среде в последние месяцы. Казалось бы, в наши дни взламывать компьютеры ничего не подозревающих пользователей с целью майнинга криптовалюты – это утопия, и так уже практически никто не делает. Однако с появлением криповалюты Zcash ситуация изменилась.

Zcash (ZEC) появился 28 октября 2016 года, и разработчики охарактеризовали свое детище так: «Если Биткойн можно сравнить с http для денег, то Zcash — это https». Криптовалюта действительно обладает интересной особенностью: транзакции Zcash позволяют скрыть отправителя, получателя и сумму сделки. Такой уровень анонимности сразу привлек внимание инвесторов, майнеров и, конечно, киберпреступников.

На старте стоимость 1 ZEC доходила до $30 000, но вскоре курс пришел к более адекватным показателям, и в настоящее время держится на отметке 0,07 – 0,01 ZEC/BTC (порядка $70). Тем не менее, майнинг Zcash остается одним из наиболее прибыльных по сравнению с другими существующими криптовалютами.

Гостев пишет, что это привело к возрождению одного из видов киберпреступной деятельности – созданию ботнетов для майнинга, число которых в последние годы сократилось практически до нуля, в силу низкой прибыльности подобных операций.

zcash_ru_1
Рейтинг доходности майнинга криптовалют по данным сайта CoinWarz

В ноябре 2016 года специалисты «Лаборатории Касперского» зафиксировали несколько инцидентов, связанных с несанкционированной установкой программ для майнинга Zcash на компьютеры пользователей. При этом программы сами по себе не являются вредоносными, то есть большинство антивирусных решений либо не реагируют на них вовсе, либо определяют как потенциально нежелательное ПО (PUP, potentally unwanted programs).

Распространяются майнеры вполне стандартными способами: их устанавливают под видом других легальных программ, включая в состав различных программных пакетов, в частности, пиратского ПО, распространяемого через торренты. Пока исследователи не зафиксировали ни одного случая массовых рассылок или распространения майнеров при помощи эксплоитов на сайтах, однако они предупреждают, что если текущая прибыльность майнинга сохранится на том же уровне, появление других механизмов распространения – лишь вопрос времени.

«Из-за того, что майниговое ПО не является вредоносным как таковым, большинство защитных решений детектирует его как чистое. В прошлом с биткойнами это привело к появлению так называемых майнинговых ботнетов – сетей зараженных компьютеров, чьи мощности использовались для генерации криптовалюты. В конце концов процесс майнинга биткойнов потерял какой-либо смысл из-за колоссально возросших затрат времени и энергоресурсов, и все эти ботнеты сами собой исчезли. Но теперь, с появлением Zcash, история может повториться», – объясняет Александр Гостев.

В настоящее время наиболее активно используется nheqminer от майнинг-пула Nicehash. Известны два его варианта, один из них получает выплаты в Bitcoin, второй в Zcash. Продуктами «Лаборатории Касперского» они определяются как not-a-virus:RiskTool.Win64.BitCoinMiner.bez и not-a-virus:RiskTool.Win64.BitCoinMiner.bfa.

zcash_ru_2

Исследователи обнаружили около 1000 уникальных пользователей, у которых установлен один из вариантов майнера Zcash с именем, отличным от стандартного (то есть речь, скорее всего, идет о заражении системы втайне от ее владельца). Если средний компьютер способен майнить около 20 хешей в секунду, а это означает около 20 000 хешей в секунду от тысячи инфицированных машин. Выходит, что доход операторов малвари составляет примерно $6200 в месяц или $75 000 в год.

Под какими именами майнеры маскируются в системе? Под самыми разными, в том числе маскируются под Task Manager и другие легитимные приложения. В блоге «Лаборатории Касперского» перечислены следующие примеры:

• diskmngr.exe
• mssys.exe
• C:\system\taskmngr.exe
• system.exe
• nsdiag.exe
• taskmngr.exe
• svchost.exe
• C:\Users\[username]\AppData\Roaming\MetaData\mdls\windlw\mDir_r\rhost.exe
• qzwzfx.exe
• C:\Users\[username]\AppData\Local\Temp\afolder\mscor.exe
• C:\Program Files\Common Files\nheqminer64.exe
• C:\Windows\Logs\Logsfiles64\conhost.exe
• apupd.exe

С детальным техническим отчетом о майнерах можно ознакомиться здесь.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    4 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии