Хакеры все чаще используют чужие компьютеры для добычи криптовалют

Хакеры все чаще используют чужие компьютеры для добычи криптовалют

Хакеры все чаще используют чужие компьютеры для добычи криптовалют

Вредоносное ПО для скрытого майнинга (генерации криптовалют) набирает все большую популярность у злоумышленников. За последний месяц «Лаборатория Касперского» обнаружила несколько крупных бот-сетей, созданных для получения прибыли от этого процесса, – каждая из них насчитывает тысячи зараженных компьютеров.

Кроме того, эксперты компании отмечают рост количества попыток установки майнеров (программ для генерации криптовалют) на серверы организаций. По подсчетам аналитиков, майнинговая сеть приносит своим владельцам до 30 тысяч долларов в месяц. А самыми распространенными валютами для скрытого майнинга являются Monero (XMR) и Zcash. 

Чаще всего майнеры попадают на компьютеры через инсталляторы рекламного ПО, распространяемые с помощью социальной инженерии. При этом пользователь самостоятельно скачивает эти инсталляторы – например, с файлообменника под видом бесплатного ПО или ключей для активации лицензионных продуктов. Однако эксперты также фиксировали случаи распространения майнеров через уязвимости в программном обеспечении. Так, при эксплуатации бреши EternalBlue жертвой зловреда становился сервер, что особенно выгодно злоумышленникам за счет его более высокой производительности.

Сам по себе майнинг не является незаконным процессом, более того – пользователь вполне может установить такую программу и легально использовать ее для добычи криптовалюты. Эти обстоятельства существенно усложняют детектирование скрытого майнинга, происходящего на компьютере или сервере пользователя без его ведома. К тому же сами эти программы часто сопровождаются дополнительными сервисами, которые обеспечивают их закрепление в системе, автозапуск при включении компьютера и собственно скрытую работу. В частности, такие сопутствующие сервисы следят за запуском приложений в системе и приостанавливают деятельность майнера, если работает программа мониторинга активности. Также они постоянно проверяют наличие майнера на жестком диске и восстанавливают его в случае удаления.

«Злоумышленники, как всегда, используют любую возможность для получения прибыли незаконным путем, и способы заработка постоянно эволюционируют. Развитие рынка криптовалют открыло для киберпреступников новые возможности, но, чтобы использовать их по полной, им нужны мощности чужого оборудования. И это, в свою очередь, поспособствовало бурному росту числа случаев, когда майнеры устанавливаются без ведома пользователей. Отчасти этот бум скрытого майнинга объясняется тем, что на этапе зарождения криптовалютного рынка майнить и зарабатывать на этом деньги намного проще», – объясняет Евгений Лопатин, аналитик «Лаборатории Касперского». 

Игроки Minecraft могут стать участниками DDoS-атаки через плагин скинов

Обычная попытка поиграть на пиратских серверах Minecraft неожиданно закончилась исследованием потенциальной уязвимости. Пользователь Хабра под ником Fir3wall1 рассказал, что во время анализа популярного плагина Skins Restorer обнаружил механизм, который теоретически может использоваться для организации распределенных атак на сторонние сайты.

Плагин Skins Restorer широко применяется на пиратских серверах для смены внешнего вида персонажей.

Исследователь обратил внимание, что при загрузке скина игровой клиент самостоятельно обращается по указанному адресу, а сервер лишь передает ссылку, практически не проверяя ее содержимое.

 

По словам автора, именно эта особенность позволяет заставить большое количество игровых клиентов одновременно обращаться к одному и тому же веб-ресурсу. В результате игровой сервер фактически превращается в центр управления, а подключенные игроки — в источник сетевого трафика.

Чтобы оценить масштаб проблемы, исследователь совместно с владельцем фермы игровых ботов провел контролируемый эксперимент на собственном тестовом сервере. В первом сценарии нагрузка оказалась заметной, но не критичной. Во втором, при существенно большем количестве подключений, тестовый веб-сервер перестал отвечать на запросы.

Автор подчеркивает, что речь не идет об угрозе для крупных интернет-компаний с развитой инфраструктурой и средствами защиты. Однако небольшие сайты и сервисы без CDN, WAF и других механизмов фильтрации могут оказаться более уязвимыми.

По мнению исследователя, проблема связана не столько с самим Minecraft, сколько с архитектурными особенностями плагина, который не ограничивает адреса, к которым могут обращаться игровые клиенты при загрузке скинов.

Если выводы автора подтвердятся, это станет еще одним примером того, как безобидная игровая функция может неожиданно превратиться в инструмент для злоупотреблений. При этом сама публикация служит напоминанием разработчикам плагинов: даже вспомогательные механизмы требуют тщательной проверки с точки зрения безопасности.

RSS: Новости на портале Anti-Malware.ru