Специалисты по информационной безопасности из исследовательской лаборатории Check Point проанализировали вредоносную кампанию, распространяющую программу KingMiner, предназначенную для генерации криптовалюты,
[Ссылки могут видеть только зарегистрированные пользователи. ].
Атаке злоумышленников подверглись серверы в Мексике, Израиле, Индии и странах Юго-Восточной Азии. Как выяснили эксперты, в коде майнера содержится ошибка, из-за чего он полностью загружает центральный процессор инфицированного устройства.
Целью вредоносной кампании являются системы под управлением Windows Server. Зловред проводит брутфорс-атаку для проникновения на устройство, определяет тип установленного процессора и загружает соответствующую ему версию программы. Если сервер уже был инфицирован, KingMiner выгружает из памяти и удаляет все файлы, относящиеся к своим предыдущим версиям, после чего повторно заражает компьютер.
В качестве полезной нагрузки киберпреступники используют модернизированную версию программы XMRig, которая
[Ссылки могут видеть только зарегистрированные пользователи. ] в список самых популярных программ для скрытной добычи криптовалюты. Как показало исследование Check Point, чаще всего злоумышленники используют для криптоджекинга Coinhive, а на второй и третьей строчках расположились Cryptoloot и JSEcoin.
С целью усложнить работу специалистам по информационной безопасности создатели KingMiner предприняли ряд мер, чтобы исключить запуск вредоносной программы
[Ссылки могут видеть только зарегистрированные пользователи. ]. Аналитики также обнаружили, что после активации зловред задействует 100% ресурсов центрального процессора, несмотря на установленные в настройках ограничения в 75%.
[Ссылки могут видеть только зарегистрированные пользователи. ]