Нового троянца создал фанат Кребса

Александр Панасенко 21 Августа 2017 - 20:23

...

Троянцы-майнеры, использующие для добычи криптовалют вычислительные ресурсы компьютеров без ведома их владельцев, известны с 2011 года. За прошедшие годы интерес к ним со стороны злоумышленников не ослабел, о чем свидетельствует появление новых вредоносных программ этого типа.

Троянцы-майнеры появляются с завидной регулярностью, при этом вирусные аналитики «Доктор Веб» отмечают любопытную тенденцию: создатели таких программ все чаще ориентируются на платформу Linux. В последнее время широкое распространение получили работающие под управлением Linux «умные» устройства, владельцы которых не меняют установленные по умолчанию настройки, прежде всего — логин и пароль администратора. Именно поэтому взлом таких устройств не представляет для киберпреступников большой проблемы, пишет news.drweb.ru.

Очередной троянец-майнер, предназначенный для работы под управлением ОС Linux, получил наименование Linux.BtcMine.26. Схема его распространения похожа на механизм заражения троянцем Linux.Mirai: злоумышленники соединяются с атакуемым устройством по протоколу Telnet, подобрав логин и пароль, после чего сохраняют на нем программу-загрузчик. Затем киберпреступники запускают эту программу из терминала с помощью консольной команды, и на устройство загружается троянец Linux.BtcMine.26.

Анализ загрузчика майнера показал забавную особенность этого приложения: в его коде несколько раз встречается адрес сайта krebsonsecurity.com, принадлежащего известному эксперту по информационной безопасности Брайану Кребсу. По всей видимости, автор троянца является его тайным поклонником.

Троянец предназначен для майнинга Monero (XMR) — криптовалюты, созданной в 2014 году. В настоящее время известны сборки Linux.BtcMine.26 для аппаратных архитектур x86-64 и ARM. Характерными признаками присутствия майнера могут служить снижение быстродействия устройства и увеличение тепловыделения в процессе его работы. Наиболее надежным методом профилактики заражения подобными троянцами является своевременное изменение установленных по умолчанию логина и пароля на устройстве, при этом рекомендуется использовать сложные пароли, устойчивые к компрометации методом перебора по словарю. Также рекомендуется ограничить возможность дистанционного изменения настроек устройства при внешних подключениях к нему.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 06 Февраля 2026 - 09:23

macOS Трояны Домашние пользователи Корпорации Microsoft

Новые инфостилеры атакуют macOS и распространяются через WhatsApp

Microsoft предупреждает: инфостилеры больше не ограничиваются Windows и всё активнее осваивают macOS. Об этом говорится в новом исследовании команды Microsoft Defender Security Research, посвящённом эволюции вредоносных программ для кражи данных.

Если раньше такие «цифровые карманники» в основном охотились за пользователями Windows, теперь они уверенно чувствуют себя и в экосистеме Apple.

Злоумышленники всё чаще используют кросс-платформенные языки вроде Python, а доставку вредоносного кода маскируют под вполне безобидные приложения: PDF-редакторы, утилиты и даже мессенджеры.

По данным Microsoft, с конца 2025 года заметно выросло число кампаний, нацеленных именно на macOS. В ход идут приёмы социальной инженерии, включая популярную схему ClickFix, а также поддельные установщики. Так распространяются специализированные зловреды вроде DigitStealer, MacSync и Atomic macOS Stealer (AMOS).

Это не просто адаптированные версии Windows-малвари. Атакующие активно используют нативные инструменты macOS, AppleScript и «бесфайловые» техники, чтобы незаметно вытаскивать данные из браузеров, связок ключей, сессий и даже сред разработки. Такой подход позволяет действовать скрытно и обходить традиционные средства защиты.

Один из показательных кейсов — фейковое приложение Crystal PDF, которое рекламировалось как полезный инструмент для работы с документами. Осенью 2025 года его активно продвигали через вредоносную рекламу и SEO-манипуляции в Google Ads.

После установки Crystal PDF закреплялся в системе и начинал воровать данные из браузеров Firefox и Chrome, включая cookies, сессии и сохранённые учётные данные. По сути, вся браузерная активность пользователя оказывалась в распоряжении злоумышленников.

Ещё более изобретательным оказался Eternidade Stealer. Этот зловред использует червеподобную схему распространения и WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России). Внутренний Python-скрипт автоматизирует рассылку сообщений через захваченные аккаунты, собирает список контактов жертвы и отправляет им вредоносные вложения.

После заражения вредонос постоянно следит за активными окнами и процессами, выжидая момент, когда пользователь зайдёт в банковский сервис, платёжную систему или криптобиржу вроде Binance, Coinbase или Stripe.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »