В «Доктор Веб» проанализировали нового трояна-майнера, которого активно раздают в Telegram и на некоторых сайтах вместе с пиратским софтом. Авторам одной из таких кампаний за полтора месяца удалось заразить более 40 тыс. компьютеров Windows.
Основными источниками инфекции, по данным экспертов, являются собравший более 5000 подписчиков телеграм-канал t[.]me/files_f , а также сайты itmen[.]software и soft[.]sibnet[.]ru. Вредонос может раздаваться в связке с кейгенами либо репаками различных программ, таких как Яндекс.Браузер, антивирус Sophos, инструменты Adobe.
Защитные решения ИБ-компании детектируют новобранца как Trojan.BtcMine.3767 (загрузчик) и Trojan.BtcMine.2742 (криптомайнер). Первый представляет собой Windows-зловреда, написанного на С++.
После запуска вредоносный загрузчик копирует себя в папку %ProgramFiles%\google\chrome\ под именем updater.exe и создает запланированное задание на автозагрузку. Он также добавляет себя в список исключений Microsoft Defender и принимает меры для бесперебойной работы компьютера. После инициализации в процесс explorer.exe внедряется пейлоад — майнер Trojan.BtcMine.2742.
С помощью загрузчика авторы атаки также могут установить руткит (бесфайловый r77), запретить обновление Windows, заблокировать доступ к сайтам по выбору, приостановить добычу крипты, удалить или восстановить троянские файлы в системе.
