PowerGhost — новый бестелесный криптомайнер

В большей степени пострадали от его атак такие страны, как Бразилия, Колумбия, Индия и Турция. В России были зафиксированы атаки на десятки пользователей.

PowerGhost — это бесфайловый зловред, то есть он существует в оперативной памяти устройства и не нуждается в исполняемых файлах для запуска, что значительно осложняет его обнаружение. Заражение компьютера этим вредоносом происходит с помощью эксплойтов или средств удаленного администрирования.

Далее основная часть криптомайнера загружается и запускается без сохранения на жестком диске. Сразу после этого киберпреступники могут предоставить PowerGhost возможности для автоматического обновления, распространения в сети и начала криптомайнинга.

Проникнув в инфраструктуру компании, PowerGhost пытается авторизоваться в учетные записи пользователей сети через легитимный инструмент удаленного администрирования Windows Management Instrumentation (WMI). Необходимые для входа логины и пароли зловред добывает с помощью встроенного инструмента для извлечения данных — Mimikatz.

Кроме того, майнер может распространяться через эксплойт EternalBlue для Windows, который использовали авторы WannaCry и ExPetr. Теоретически эта уязвимость уже больше года как закрыта. Но на практике почему-то продолжает работать.

Попав на устройство, зловред пытается повысить свои привилегии, воспользовавшись несколькими уязвимостями ОС. После этого майнер закрепляется в системе и начинает добывать криптовалюту для своих хозяев.

Читайте также:  FT: грядущий финансовый кризис не победить - нет инструментов

Как и любой майнер, PowerGhost использует ресурсы оборудования для генерации криптовалюты. Это, с одной стороны, снижает производительность серверов и других устройств, а с другой — значительно ускоряет их износ, что влечет за собой дополнительные расходы на замену аппаратуры.

Однако по сравнению с большинством подобных программ PowerGhost сложнее обнаружить, поскольку он не загружает на устройство вредоносные файлы. А значит, он способен дольше проработать незамеченным на зараженном сервере или рабочей станции и нанести больший урон.

В одной из версий PowerGhost был также обнаружен инструмент для проведения DDoS-атак. Вероятно, злоумышленники планировали получать дополнительный заработок со своего майнинг-ботнета, предоставляя услугу DDoS.

Интересно, что зловред умеет проверять, запускается он в настоящей ОС или в «песочнице», — это позволяет ему обходить стандартные защитные решения. Примечательно, что случаи заражения новым зловредом подтвердили недавний прогноз экспертов «Лаборатории Касперского»: разработчики вредоносных криптомайнеров действительно переходят на целевые атаки с целью повышения финансовой прибыли.

Найден фрукт, укрепляющий сердце и иммунную систему

Поделись с друзьями, расскажи знакомым:
Похожие новости:
В Польше раскрыли истинную причину претензий к газу из России
Федеральная налоговая служба США создала группу для выявления уклонения доходов от операций с крипто...
Москва построит квартал реновации рядом с ЖК "Триумфальный"
Квартиры в Новой Москве подорожали почти на 5%
Работы на долгострое ЖК "Царицыно" начнутся 1 июня
Пора решить проблему апартаментов - Хуснуллин
Ultrain привлек $20 млн от продажи токенов и акций
Россия получила козыри в споре с Украиной в ВТО

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *