Среда, 8 июля, 04:43
дома безопасность Этот майнер криптовалют использует скрытую уникальную тактику!

Этот майнер криптовалют использует скрытую уникальную тактику!

Исследователи обнаружили новые методы запутывания, которые они описали как «уникальные» в активном ботнете по майнингу криптовалюты.

В четверг ESET заявил, что обнаружение было сделано путем проверки ботнета Stantinko, который был активен по крайней мере с 2012 года.

При запуске Stantinko уделяла основное внимание рекламным сообщениям. Россия и украина. Вредоносное ПО распространялось через пиратское программное обеспечение как вектор заражения, при котором получатели будет запускать эти файлы только для развития спектра в то же время профилактическое программное обеспечение и шпионское ПО на компьютерах.

Операторы будут получать доход от вредоносных расширений браузера, которые сопровождают инъекции рекламы и программного обеспечения "мошенничества с кликами", а также установки бэкдоров и грубые атаки на веб-сайт CMS.

криптовалюта

В 2019 году операторы Stantinko добавили новый блок майнинга криптовалюты, чтобы генерировать дополнительный незаконный доход, а также расширили пул жертв в России, УкраинаБеларусь и Казахстан.

Новый модуль добычи Monero интересен, учитывая, что «методы защиты, встречающиеся в анализе, более продвинуты, чем вредоносное ПО, которое они защищают», говорит Владислав Хрчка.

Аналитик ESET по вредоносным программам добавил, что некоторые методы еще не были «публично описаны».

Выделяются два метода экранирования: способ скрытия струн и метод, называемый сканированием с управлением потоком.

Первый метод основан на строках памяти, которые существуют только в памяти при использовании. По словам ESETвсе строки, встроенные в модуль криптовалюты, не связаны с реальной функциональностью майнера и «либо служат структурной элементы для создания строк, которые фактически используются или не используются вообще. "

«Строки, используемые вредоносным ПО, создаются в μνήμηчтобы избежать анализа обхода и ролловера на основе файлов », - отмечают исследователи.

Сканирование управления потоком изменяет поток управления на формат, который трудно прочитать, и выполнение ключевых блоков считается «непредсказуемым».

Отдельная функция делится на блоки, и эти блоки затем помещаются в виде диспетчеризации в команду переключения внутри цикла, причем каждая диспетчеризация состоит из базового блока. Управляющая переменная указывает, какой блок предназначен для выполнения.

«Все мастер-блоки распознаются, а управляющая переменная всегда содержит идентификатор мастер-блока», - сказали они. исследователи, «Все мастер-блоки устанавливают значение элемента управления переменной для его идентификатора преемника (один мастер-блок может иметь несколько возможных преемников; в этом случае непосредственный« преемник »может быть выбран в одной ситуации)».

Однако, поскольку код разбивается до уровня исходного кода, общие средства для исправления этой неисправности не будут работать в случае ботнета.

Модуль также путает некоторые основные блоки при подключении рассылок. Весь этот процесс постоянно вызывает аномалии в «петлях сплющивания», что затрудняет анализ.

Кроме того, поставщики угроз также внедрили нежелательный код и фрагменты мертвых строк, способ предотвратить обнаружение вредоносные программы как вредоносная операция. Также был найден код «Ничего не делать», который работает, но не имеет реальной функциональности.

«Преступники, стоящие за ботнетом Stantinko, постоянно совершенствуются и разрабатывают новые модули, которые часто содержат нестандартные и интересные методы», - говорит ESET. Как Ботнет оставайтесь активными, мы можем увидеть новые функции или секретные методы в будущем.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

LIVE NEWS

Project Freta от Microsoft обнаруживает вредоносные программы по снимкам

Project Freta, представленный Microsoft в понедельник, представляет собой новый бесплатный сервис, который позволяет пользователям ...

Технология Тесла помогает выявлять преступления!

Норвежское полицейское управление ищет владельцев автомобилей Tesla с Sentry Mode, чтобы помочь расследовать покушение на убийство.
00: 01: 56

Гонконг: технологические гиганты заморозили требования к данным

Google, Facebook и Twitter прекращают обработку запросов данных от правительства Гонконга, поскольку они пересматривают новый ...

Эксперт предупреждает COVID-19: «Мы будем носить маски годами»!

Эрик Тонер, старший научный сотрудник в Центре здоровья Джонса Хопкинса и мировой лидер в области готовности к пандемии, сообщил ...

Microsoft: борьба за Warner Bros. IE

Microsoft: борьба за Warner Bros. Интерактивные развлечения: Microsoft хочет быть заинтересованным в создании ...

Proton: теперь он будет поддерживать эксклюзивные игры для Windows

Хотя в последнее время Linux значительно улучшился, окна продолжают работать ...

Фишинговые атаки BEC: новая хакерская команда нацелена на крупные компании

Недавно была обнаружена новая хакерско-фишинговая команда, нацеленная на крупные компании по всему миру. BEC (Бизнес ...

Компания Anker выпустила док-станцию ​​PowerExpand Elite 13 в 1!

Док-станция PowerExpand Elite 13 от 1 от Anker превращает простой порт Thunderbolt 3 в любой порт, который вам нужен, и идеально подходит для Mac ...

Сеть Virgin Media снова перестала работать

Сеть Virgin Media столкнулась с очередным простоем, который затронул нескольких пользователей.

Банковский троян Цербера проникает в Google Play

Исследователи безопасности обнаружили, что банковский троян Cerberus замаскировался в Google Play как легальное валютное приложение. Во вторник,...