PowerGhost — новый бестелесный криптомайнер

В большей степени пострадали от его атак такие страны, как Бразилия, Колумбия, Индия и Турция. В России были зафиксированы атаки на десятки пользователей.

PowerGhost — это бесфайловый зловред, то есть он существует в оперативной памяти устройства и не нуждается в исполняемых файлах для запуска, что значительно осложняет его обнаружение. Заражение компьютера этим вредоносом происходит с помощью эксплойтов или средств удаленного администрирования.

Далее основная часть криптомайнера загружается и запускается без сохранения на жестком диске. Сразу после этого киберпреступники могут предоставить PowerGhost возможности для автоматического обновления, распространения в сети и начала криптомайнинга.

Проникнув в инфраструктуру компании, PowerGhost пытается авторизоваться в учетные записи пользователей сети через легитимный инструмент удаленного администрирования Windows Management Instrumentation (WMI). Необходимые для входа логины и пароли зловред добывает с помощью встроенного инструмента для извлечения данных — Mimikatz.

Кроме того, майнер может распространяться через эксплойт EternalBlue для Windows, который использовали авторы WannaCry и ExPetr. Теоретически эта уязвимость уже больше года как закрыта. Но на практике почему-то продолжает работать.

Попав на устройство, зловред пытается повысить свои привилегии, воспользовавшись несколькими уязвимостями ОС. После этого майнер закрепляется в системе и начинает добывать криптовалюту для своих хозяев.

Читайте также:  Депутат Мосгордумы: за 3 месяца откатились на 30 лет

Как и любой майнер, PowerGhost использует ресурсы оборудования для генерации криптовалюты. Это, с одной стороны, снижает производительность серверов и других устройств, а с другой — значительно ускоряет их износ, что влечет за собой дополнительные расходы на замену аппаратуры.

Однако по сравнению с большинством подобных программ PowerGhost сложнее обнаружить, поскольку он не загружает на устройство вредоносные файлы. А значит, он способен дольше проработать незамеченным на зараженном сервере или рабочей станции и нанести больший урон.

В одной из версий PowerGhost был также обнаружен инструмент для проведения DDoS-атак. Вероятно, злоумышленники планировали получать дополнительный заработок со своего майнинг-ботнета, предоставляя услугу DDoS.

Интересно, что зловред умеет проверять, запускается он в настоящей ОС или в «песочнице», — это позволяет ему обходить стандартные защитные решения. Примечательно, что случаи заражения новым зловредом подтвердили недавний прогноз экспертов «Лаборатории Касперского»: разработчики вредоносных криптомайнеров действительно переходят на целевые атаки с целью повышения финансовой прибыли.

Найден фрукт, укрепляющий сердце и иммунную систему

Поделись с друзьями, расскажи знакомым:
Похожие новости:
В "Газпроме" назвали сроки окончательного разрыва с "Нафтогазом"
Смертоносная реклама ICO проекта ASKfm
В Исландии ЦБ лицензировал кри­птобиржу
Представитель "Газпрома": технологические санкции затронули менее 1% добычи компании
Всемирный банк прогнозирует России "скромные перспективы экономического роста"
"Яндекс.Еду" могут оштрафовать на 1 млн рублей
ФАС предложила частично разрешить рекламу российского вина
Торговый конфликт США и КНР разрешился? Или Штаты всех обманывают?

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *