PowerGhost — новый бесфайловый майнер, способный совершать DDoS-атаки

Олег Иванов 27 Июля 2018 - 11:35

Домашние пользователи

Корпорации

Лаборатория Касперского

Вирусы-майнеры

DDoS-атаки

...

Исследователи «Лаборатории Касперского» обнаружили нового криптомайнера PowerGhost, который распространялся в корпоративных сетях по всему миру, заражая рабочие станции и серверы. В большей степени пострадали от его атак такие страны, как Бразилия, Колумбия, Индия и Турция. В России были зафиксированы атаки на десятки пользователей.

PowerGhost — это безфайловый зловред, то есть он существует в оперативной памяти устройства и не нуждается в исполняемых файлах для запуска, что значительно осложняет его обнаружение. Заражение компьютера этим вредоносом происходит с помощью эксплойтов или средств удалённого администрирования. Далее основная часть криптомайнера загружается и запускается без сохранения на жёстком диске. Сразу после этого киберпреступники могут предоставить PowerGhost возможности для автоматического обновления, распространения в сети и начала криптомайнинга.

В одной из версий PowerGhost был также обнаружен инструмент для проведения DDoS-атак. Вероятно, злоумышленники планировали получать дополнительный заработок со своего майнинг-ботнета, предоставляя услугу DDoS.

Примечательно, что случаи заражения новым зловредом подтвердили недавний прогноз экспертов «Лаборатории Касперского»: разработчики вредоносных криптомайнеров действительно переходят на целевые атаки с целью повышения финансовой прибыли.

PowerGhost представляет собой обфусцированный powershell-скрипт, содержащий основной код и дополнительные модули: непосредственно майнер, mimikatz, библиотеки msvcp120.dll и msvcr120.dll, необходимые для работы майнера, модуль для reflective PE injection и shellcode для эксплойта EternalBlue.

Зловред использует множество бесфайловых техник, чтобы оставаться незаметным для пользователя и избегать обнаружения антивирусными технологиями. Заражение машины происходит удаленно с использованием эксплойтов или инструментов удаленного администрирования (Windows Management Instrumentation). При заражении запускается однострочный powershell-скрипт, который выкачивает основное тело зловреда и сразу запускает его, не записывая на жесткий диск.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 14 Августа 2025 - 22:29

Домашние пользователи Государство

Еще одна турецкая авиакомпания ограничила провоз пауэрбанков

Турецкий лоукостер AJet запретил пассажирам пользоваться пауэрбанками во время полета. Перевозка устройств мощностью свыше 100 Вт·ч теперь допускается только с разрешения авиакомпании, а более 160 Вт·ч — исключительно в багаже и при соблюдении дополнительных условий.

О запрете сообщил телеканал TRT Haber. Ранее аналогичные меры ввела авиакомпания Pegasus.

«По рекомендации Генерального управления гражданской авиации Турции (SHGM) запрещено использование во время полета портативных зарядных устройств (пауэрбанков) с литиевыми батареями мощностью до 100 Вт·ч, электронных сигарет, запасных или внешних аккумуляторов. Их можно перевозить только в ручной клади», — цитирует телеканал выдержку из официального сообщения перевозчика.

Пауэрбанки повышенной мощности можно провозить только при наличии разрешения авиакомпании. Если емкость устройства превышает 160 Вт·ч, перевозка разрешена исключительно в багаже и в специальной упаковке.

Причиной ужесточения правил стала ситуация на рейсе Asiana Airlines Стамбул — Сеул 29 июля: потерянный в самолете пауэрбанк привел к вынужденной посадке в Казахстане. После этого министр транспорта и инфраструктуры Турции Абдулкадир Уралоглу рекомендовал ввести более строгие требования к перевозке внешних аккумуляторов.

PowerGhost — новый бесфайловый майнер, способный совершать DDoS-атаки

Читайте также