Cybergang zarabia na oprogramowaniu do wydobywania kryptowaluty

Cyberprzestępcy zaczęli stosować wyrafinowane metody i techniki infekcji, zapożyczone z ataków ukierunkowanych. Najbardziej skuteczne ugrupowanie zarobiło co najmniej 7 milionów dolarów, wykorzystując maszyny swoich ofiar przez zaledwie sześć miesięcy w 2017 roku.

Chociaż rynek kryptowalut odnotowuje wzrosty i spadki, obserwowany w zeszłym roku skok wartości bitcoina znacząco zmienił nie tylko globalną ekonomię, ale również świat cyberbezpieczeństwa. Aby zarobić kryptowalutę, przestępcy zaczęli wykorzystywać w swoich atakach oprogramowanie, które — podobnie jak narzędzia ransomware — cechuje prosty model monetyzacji. Jednak w przeciwieństwie do oprogramowania ransomware koparki nie wyrządzają poważnych szkód użytkownikom i mogą pozostać niewykryte przez długi czas, zużywając ukradkiem moc obliczeniową zainfekowanego urządzenia.

Badacze z Kaspersky Lab zidentyfikowali niedawno ugrupowanie cyberprzestępcze posiadające zaawansowane techniki w swoim arsenale narzędzi służących do infekowania użytkowników szkodliwymi koparkami. Wykorzystywało ono metodę, która jest zwykle stosowana w szkodliwym oprogramowaniu i została zidentyfikowana w niektórych atakach ukierunkowanych przeprowadzanych przez zaawansowane cybergangi, ale nigdy wcześniej nie została zaobserwowana w atakach związanych z kopaniem kryptowaluty.   

Atak jest przeprowadzany w następujący sposób: ofiara zostaje podstępnie nakłoniona do pobrania i zainstalowania oprogramowania reklamującego, które skrywa instalator koparki. Instalator ten zapisuje legalne narzędzie systemu Windows, którego głównym celem jest pobranie samego minera ze zdalnego serwera. Po aktywowaniu uruchamia się legalny proces startowy i jego legalny kod zostaje przekształcony w szkodliwy. W efekcie koparka działa pod przykrywką legalnego procesu, dlatego użytkownik nie jest w stanie rozpoznać infekcji. Jeśli użytkownik spróbuje zatrzymać proces, system uruchomi się ponownie.

W 2017 roku 2,7 mln użytkowników było atakowanych przez szkodliwe koparki — to około 50% więcej niż w 2016 roku (1,87 mln). Osoby te stawały się ofiarą w wyniku stosowania przez cyberprzestępców oprogramowania reklamowego (adware), zhakowanych gier oraz nielegalnego oprogramowania w celu ukradkowego infekowania komputerów PC. Innym stosowanym podejściem był „web mining” — kopanie kryptowalut za pośrednictwem specjalnego kodu umieszczonego na zainfekowanej stronie internetowej. Najszerzej wykorzystywanym programem typu miner był CoinHive, który został wykryty na wielu popularnych stronach internetowych.     

Użytkownikom, którzy chcą zabezpieczyć się przed szkodliwymi koparkami, zaleca się następujące działania:

• Nie otwieraj nieznanych stron internetowych ani nie klikaj podejrzanych banerów czy reklam.
• Nie pobieraj ani nie otwieraj plików pochodzących z niezaufanych źródeł.
• Zainstaluj niezawodne rozwiązanie bezpieczeństwa, które wykrywa i chroni przed wszystkimi potencjalnymi zagrożeniami, łącznie z oprogramowaniem do kopania kryptowaluty.

• Regularnie przeprowadzaj audyt bezpieczeństwa w firmowej sieci

Autor: Piotr Kupczyk, Kaspersky Lab