Os vírus de criptomoeda não são mais incomuns. A principal tarefa que eles executam é a mineração de criptomoeda nos dispositivos dos usuários. Alguns infectam os próprios PCs, outros - as páginas dos sites visitados e não muito. Uma das botnets mais eficazes, por assim dizer, é
Smominru . Ele ajudou seus proprietários a ganhar mais de US $ 3,6 milhões em dólares. É claro que a criptomoeda não é extraída em moeda fiduciária, mas em Monero, uma criptomoeda anônima que está se tornando cada vez mais popular.
Quanto ao período pelo qual os atacantes receberam uma quantia tão grande, estamos falando de 9 a 10 meses. Tudo começou em maio de 2017, quando Smominru começou a se espalhar ativamente. Desde então, ele infectou mais de 526 mil carros.
“O Bitcoin se tornou uma criptomoeda não muito lucrativa do ponto de vista da mineração, as principais capacidades de mineração estão concentradas em fazendas de mineração. Como resultado, o interesse dos cibercriminosos em Monero aumentou muitas vezes ”, disse um dos pesquisadores de segurança de rede com o apelido Kafeine. Seu post é publicado no site de uma empresa especializada em segurança de rede
chamada Proofpoint.
“É claro que o Monero não pode ser extraído em grandes quantidades nos PCs domésticos. Mas botnets distribuídos como Smominru são bastante capazes disso ”, continua o pesquisador. Além da botnet especificada, também existem o Adylkuzz e o Zealot. Todos eles têm uma coisa em comum - o código desenvolvido nas entranhas da NDA e estabelecido há um ano e meio pelo grupo de hackers Shadow Brokers. Até agora, esse código é relevante e permite que os invasores violem sistemas de IoT, computadores pessoais e executem outras ações.
Smominru usa explorações para infectar computadores, um dos quais é o
EternalBlue . O vírus trabalha com ele para se espalhar de uma máquina para outra na rede infectada. Além disso, essa vulnerabilidade é usada em computadores onde outros métodos de hacking não funcionam. Obviamente, essa vulnerabilidade funcionará apenas em sistemas sem um patch instalado. Smominru também usa a interface de gerenciamento do Windows.
Uma botnet em si é inofensiva, como mencionado acima. Mas se infectar uma rede de empresas, as empresas sofrerão perdas. O problema é que a mineração é um processo que consome muitos recursos que tira recursos livres das máquinas. Como resultado, muitas operações de trabalho começam a desacelerar ou parar completamente. O problema também é que a eletricidade é consumida durante a mineração, e isso é uma perda direta para as empresas. Custos de trabalho, mas energia é consumida.
A botnet trabalha com o pool de mineração Monero MineXMR. Agora, os especialistas em segurança de rede estão tentando eliminar a botnet e as redes às quais ela está associada.
Outras botnets de mineração, como o WannaMine, também estão operando agora. Todos eles são semelhantes entre si e exploram quase as mesmas vulnerabilidades. Eles são perigosos porque trabalham sem fazer download de arquivos. Além disso, eles usam software "legítimo" como WMI e PowerShell, o que dificulta a detecção de vírus de mineração. Provavelmente, para bloqueá-los completamente, são necessários novos tipos de antivírus, que durante a operação levarão em conta as características de apenas esse malware.
A mineração é usada não apenas pelos criptovírus, mas também por vários tipos de recursos populares. Por exemplo, o rastreador de torrents do Pirate Bay
adiciona regularmente um script de minerador de criptografia às suas páginas. Isso foi conhecido pela primeira vez em 17 de setembro. Foi então que o recurso testou o mineiro pela primeira vez como uma alternativa aos banners publicitários no site. Ninguém invadiu o recurso, a administração do rastreador decidiu obter alguns fundos adicionais para manter o rastreador. É verdade que isso foi feito sem aviso prévio, ninguém solicitou o consentimento dos usuários.
O mineiro foi encontrado porque o computador no qual a página com o script especial foi carregado começou a funcionar mais lentamente. Em seguida, a administração do rastreador instalou o código com as novas configurações, o que garantiu muito menos carga nos sistemas do cliente, para que os usuários não suspeitem de nada.
A luta contra os mineradores de criptografia é realizada por muitas organizações de rede. Um deles é o provedor Cloudflare CDN. Anteriormente, essa empresa congelou a conta de outro rastreador de torrent e pelo mesmo motivo - trabalhando com mineradoras de criptografia. Muito provavelmente, com o tempo, os criptovírus se espalharão mais amplamente e será mais difícil detectá-los.