Аналитики «Доктор Веб» сообщили об участившихся случаях выявления троянов-майнеров для скрытой добычи криптовалюты в составе пиратского ПО, которое распространяется через Telegram и различные сайты. По подсчетам исследователей, один из таких вредоносов заразил более 40 000 систем всего за полтора месяца.
В декабре 2023 года исследователи заметили рост числа детектирований майнера, который компания отслеживает как Trojan.BtcMine.3767, а также связанного с ним Trojan.BtcMine.2742. Оказалось, что майнеры попадали на компьютеры пользователей вместе с различным пиратскими софтом.
Trojan.BtcMine.3767 представляет собой Windows-трояна, написанного на С++. Это загрузчик майнера, созданный на базе опенсорсного проекта SilentCryptoMiner.
Основными источниками распространения малвари стали Telegram канал t[.]me/files_f (более 5000 подписчиков), а также сайты itmen[.]software и soft[.]sibnet[.]ru. Отмечается, что для последнего подготавливались отдельные сборки с использованием установщика NSIS.
По данным специалистов, всего за полтора месяца одна из кампаний по распространению этого трояна привела к заражению более 40 000 компьютеров. При этом исследователи говорят, что учитывая статистику просмотров публикаций в Telegram-канале и трафик упомянутых сайтов, масштаб проблемы может оказаться более значительным.
После запуска загрузчик копирует себя в %ProgramFiles%\google\chrome\ под именем updater.exe и создает задачу планировщика для обеспечения автозагрузки при запуске ОС. В целях маскировки задача имеет название GoogleUpdateTaskMachineQC. Кроме того, загрузчик прописывает свой файл в исключения антивируса Windows Defender, а также запрещает компьютеру выключаться и уходить в режим гибернации.
Исходные настройки жестко закодированы в «тело» трояна, а в дальнейшем получение настроек выполняется с удаленного хоста. После инициализации в процесс explorer.exe внедряется полезная нагрузка — Trojan.BtcMine.2742, отвечающий за скрытую добычу криптовалюты.
Отмечается, что дополнительно загрузчик позволяет устанавливать на скомпрометированную машину бесфайловый руткит r77, запретить обновления Windows, блокировать доступ к определенным сайтам, автоматически удалять и восстанавливать свои исходные файлы, приостанавливать процесс добычи криптовалюты, а также выгружать занимаемую майнером оперативную и видеопамять при запуске программ для мониторинга процессов в зараженной системе.
