Фейковый блокировщик рекламы уличили в майнинге Monero
Эксперты "Лаборатории Касперского" зафиксировали новую вредоносную программу, угоняющую мощности систем на базе ОС Windows для майнинга криптовалюты Monero.
В текущей кампании зловред маскируется под легитимные блокировщики рекламы AdShield и Netshield, а также сервис OpenDNS.
Фальшивки распространяются через специально созданные сайты, на которые можно попасть по ссылке из поисковой выдачи.
После запуска вредоносная программа меняет настройки DNS на устройстве и перенаправляет все запросы пользователя на серверы злоумышленников, которые не дают жертве получить доступ к сайтам некоторых антивирусов.
Затем зловред отсылает своим создателям данные зараженной системы и проверяет наличие обновлений.
На следующем этапе фейковый блокировщик запускает модифицированный торрент-клиент Transmission, чтобы скачать модуль для майнинга, уникальный для каждой зараженной машины.
Запуск криптомайнера XMRig происходит под видом легитимной утилиты find.exe. Чтобы обеспечить постоянную работу этого "сервиса", в планировщике Windows создается специальная задача.
С начала февраля "Лаборатория Касперского" зарегистрировала более 7000 уникальных попыток установки поддельных приложений в рамках текущей кампании. В пиковые дни злоумышленники проводили свыше 2500 атак - в основном на территории РФ и других стран СНГ.
Исследователи полагают, что нынешние атаки являются продолжением летней кампании, которую выявила Avast. Тогда злоумышленники распространяли вредоносное ПО под видом установщика антивируса Malwarebytes.
