Les virus de crypto-monnaie ne sont plus rares. La tâche principale qu'ils effectuent est l'extraction de crypto-monnaie sur les appareils des utilisateurs. Certains infectent les PC eux-mêmes, d'autres - les pages des sites visités et peu nombreux. L'un des réseaux de zombies les plus efficaces, pour ainsi dire, est
Smominru . Il a aidé ses propriétaires à gagner plus de 3,6 millions de dollars en dollars. Il est clair que la crypto-monnaie n'est pas extraite en fiat, mais dans Monero, une crypto-monnaie anonyme qui devient de plus en plus populaire.
Quant à la période pour laquelle les attaquants ont reçu une telle somme, nous parlons de 9 à 10 mois. Tout a commencé en mai 2017, lorsque Smominru a commencé à se propager activement. Depuis lors, il a infecté plus de 526 000 voitures.
«Le Bitcoin est devenu une crypto-monnaie peu rentable du point de vue de l'exploitation minière, les principales capacités minières se concentrent sur les exploitations minières. En conséquence, l'intérêt des cybercriminels pour Monero a augmenté à plusieurs reprises », a déclaré l'un des chercheurs en sécurité des réseaux sous le surnom de Kafeine. Son article est publié sur le site Web d'une société spécialisée dans la sécurité des réseaux
appelée Proofpoint.
«Bien sûr, Monero ne peut pas être exploité en grande quantité sur des ordinateurs personnels. Mais les réseaux de zombies distribués comme Smominru en sont tout à fait capables », poursuit le chercheur. En plus du botnet spécifié, il existe également Adylkuzz et Zealot. Tous ont une chose en commun - le code développé dans les entrailles de la NDA et présenté il y a un an et demi par le groupe de hackers Shadow Brokers. Jusqu'à présent, ce code est pertinent et permet aux attaquants de pirater les systèmes IoT, les ordinateurs personnels et d'effectuer d'autres actions.
Smominru utilise des exploits pour infecter les ordinateurs, dont
EternalBlue . Le virus fonctionne avec lui afin de se propager d'une machine à l'autre au sein du réseau infecté. De plus, cette vulnérabilité est utilisée sur les ordinateurs où les autres méthodes de piratage ne fonctionnent pas. Bien sûr, cette vulnérabilité ne fonctionnera que sur les systèmes sans patch installé. Smominru utilise également l'interface de gestion Windows.
Un botnet lui-même est inoffensif, comme mentionné ci-dessus. Mais s'il infecte un réseau d'entreprises, les entreprises subissent des pertes. Le problème est que l'exploitation minière est un processus gourmand en ressources qui enlève des ressources gratuites aux machines. En conséquence, de nombreuses opérations de travail commencent à ralentir ou à s'arrêter complètement. Le problème est également que l'électricité est consommée pendant l'exploitation minière, ce qui représente une perte directe pour les entreprises. Le travail coûte, mais l'énergie est consommée.
Le botnet fonctionne avec le pool de minage Monero MineXMR. Désormais, les experts en sécurité réseau tentent d'éliminer le botnet et les réseaux auxquels il est associé.
D'autres réseaux de zombies miniers, comme WannaMine, fonctionnent également maintenant. Tous sont similaires et exploitent presque les mêmes vulnérabilités. Ils sont dangereux car ils fonctionnent sans télécharger de fichiers. De plus, ils utilisent des logiciels «légitimes» comme WMI et PowerShell, ce qui rend les virus miniers difficiles à détecter. Probablement, pour les bloquer complètement, de nouveaux types d'antivirus sont nécessaires, qui, pendant le fonctionnement, prendront en compte les caractéristiques de ces logiciels malveillants.
L'exploitation minière est utilisée non seulement par les cryptovirus, mais également par divers types de ressources populaires. Par exemple, le traqueur de torrent The Pirate Bay
ajoute régulièrement un script de mineur de crypto à ses pages. Cela a été connu pour la première fois le 17 septembre. C'est alors que la ressource a d'abord testé le mineur comme une alternative aux bannières publicitaires sur le site. Personne n'a piraté la ressource, c'est l'administration du tracker qui a décidé d'obtenir des fonds supplémentaires pour maintenir le tracker. Certes, cela a été fait sans avertissement, personne n'a demandé aux utilisateurs leur consentement.
Le mineur a été trouvé car l'ordinateur sur lequel la page contenant le script spécial a été chargée a commencé à fonctionner plus lentement. L'administration du tracker a ensuite installé le code avec les nouveaux paramètres, ce qui a assuré une charge beaucoup moins importante sur les systèmes clients, de sorte que les utilisateurs ne peuvent rien soupçonner.
La lutte contre les crypto-mineurs est menée par de nombreuses organisations de réseau. L'un d'eux est le fournisseur Cloudflare CDN. Auparavant, cette société avait gelé le compte d'un autre tracker torrent, et juste pour la même raison - travaillant avec des mineurs de crypto. Très probablement, au fil du temps, les cryptovirus se répandront plus largement et il sera plus difficile de les détecter.