Новый троянец занимается майнингом биткоинов

Александр Панасенко 19 Декабря 2013 - 10:53

...

В антивирусной компании «Доктор Веб» сообщили о появлении вредоносной программы Trojan.BtcMine.218, предназначенной для майнинга (добычи) электронной криптовалюты Bitcoin, и распространяющейся с помощью широко известной вредоносной партнерской программы installmonster.ru. Это уже второй троянец для несанкционированного использования вычислительных ресурсов компьютеров, обнаруженный в декабре 2013 года.

Мониторинг партнерской программы по монетизации файлового трафика Installmonster.ru в очередной раз подтвердил её вредоносный характер. В начале декабря в раздаче этой партнерской программы был замечен файл SmallWeatherSetup.exe, якобы представляющий собой «погодный тулбар». Известно и одноименное вполне безобидное приложение, действительно способное демонстрировать актуальную информацию о погоде, однако вариант, предлагаемый партнерской программой Installmonster.ru, содержит совсем небезопасное «дополнение», пишет drweb.com.

В данном случае мы имеем дело с классическим троянцем-дроппером, написанным на макроязыке AutoIt. Код скрипта достаточно прост и понятен, при этом он содержит две характерные строки:

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\SmallWeatherSetup.exe", @TEMPDIR & "\Setup_1.exe")

FILEINSTALL("C:\Users\Antonio\Desktop\Glue\Install.exe", @TEMPDIR & "\Setup_2.exe")

Из этих строк становится очевидно, что пользователь, скрывающийся под псевдонимом Antonio, собрал на Рабочем столе своего компьютера дроппер, включающий два приложения: безобидный «погодный информатор» SmallWeatherSetup.exe и вредоносную программу в файле Install.exe. Приложение Install.exe представляет собой загрузчик основного троянского компонента, который, используя конфигурационный файл в формате XML, скачиваемый с сайта злоумышленников http://bitchat.org, устанавливает на инфицированный компьютер приложение для добычи (майнинга) криптовалюты. В конфигурационном файле содержится логин пользователя, в чью пользу троянец расходует аппаратные ресурсы компьютера жертвы, — tonycraft.

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe. Для обеспечения автоматического запуска троянская программа модифицирует соответствующую ветвь системного реестра Windows:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Intel(R) Common User Interface"="%APPDATA%\Intel\Intel.exe"

По всей видимости, Antonio (Tony) не слишком искушен в вопросах программирования, поскольку разработку вредоносной программы он поручил другому человеку, который и написал основные модули троянца. Об этом говорит символьная информация, оставленная в модулях троянца, например: "c:\Users\Кошевой Дмитрий\Documents\Visual Studio 2012\Projects\Miner\Instal\obj\Debug\Instal.pdb". С помощью элементарного поиска без труда находится страница в социальной сети «ВКонтакте», где пользователь с ником Tonycoin приглашает всех на свой «обновленный чат-сайт bitchat.org»:

Кроме того, без труда отыскиваются страницы, где тот же пользователь рекламирует своего троянца под видом приложения SmallWeatherSetup.exe. В настоящее время вирусописатель "Кошевой Дмитрий" неустанно продолжает модифицировать свою поделку для обхода сигнатурного детекта, а Tony переключился с "Погодного Информера" на распространение приложения "Интернет Радио" в виде файла с именем ScreamerRadio.exe.

К слову, на днях в партнерской программе InstallMonster появился новый "рекламодатель", устанавливающий пользователям программу RadioOnline.exe, которая, как нетрудно догадаться, представляет собой всё тот же Trojan.BtcMine.218.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 10:33

Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи

Новая атака в Telegram использует официальную аутентификацию мессенджера

Эксперты зафиксировали новую и довольно изощрённую фишинговую кампанию в Telegram, которая уже активно используется против пользователей по всему миру. Главная особенность атаки в том, что злоумышленники не взламывают мессенджер и не подделывают его интерфейс, а аккуратно используют официальные механизмы аутентификации Telegram.

Как выяснили аналитики компании CYFIRMA, атакующие регистрируют собственные API-ключи Telegram (api_id и api_hash) и с их помощью инициируют реальные попытки входа через инфраструктуру самого мессенджера. Дальше всё зависит от того, как именно жертву заманят на фишинговую страницу.

Всего специалисты наткнулись на два подобных сценария. В первом случае пользователю показывают QR-код в стиле Telegram, якобы для входа в аккаунт. После сканирования кода в мобильном приложении запускается легитимная сессия, но уже на стороне злоумышленника.

Во втором варианте жертву просят вручную ввести номер телефона, одноразовый код или пароль двухфакторной защиты. Все эти данные тут же передаются в официальные API Telegram.

Ключевой момент атаки наступает позже. Telegram, как и положено, отправляет пользователю системное уведомление в приложении с просьбой подтвердить вход с нового устройства. И вот тут в дело вступает социальная инженерия. Фишинговый сайт заранее подсказывает, что это якобы «проверка безопасности» или «обязательная верификация», и убеждает нажать кнопку подтверждения.

В итоге пользователь сам нажимает «Это я» и официально разрешает доступ к своему аккаунту. Никакого взлома, обхода шифрования или эксплуатации уязвимостей не требуется: сессия выглядит полностью легитимной, потому что её одобрил владелец аккаунта.

По данным CYFIRMA, кампания хорошо организована и построена по модульному принципу. Бэкенд централизованный, а домены можно быстро менять, не затрагивая логику атаки. Такой подход усложняет обнаружение и блокировку инфраструктуры.

После захвата аккаунта злоумышленники, как правило, используют его для рассылки фишинговых ссылок контактам жертвы, что позволяет атаке быстро распространяться дальше — уже от лица доверенного пользователя.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »