Фейковый блокировщик рекламы уличили в майнинге Monero

Эксперты "Лаборатории Касперского" зафиксировали новую вредоносную программу, угоняющую мощности систем на базе ОС Windows для майнинга криптовалюты Monero.

В текущей кампании зловред маскируется под легитимные блокировщики рекламы AdShield и Netshield, а также сервис OpenDNS.

Фальшивки распространяются через специально созданные сайты, на которые можно попасть по ссылке из поисковой выдачи.

После запуска вредоносная программа меняет настройки DNS на устройстве и перенаправляет все запросы пользователя на серверы злоумышленников, которые не дают жертве получить доступ к сайтам некоторых антивирусов.

Затем зловред отсылает своим создателям данные зараженной системы и проверяет наличие обновлений.

На следующем этапе фейковый блокировщик запускает модифицированный торрент-клиент Transmission, чтобы скачать модуль для майнинга, уникальный для каждой зараженной машины.

Запуск криптомайнера XMRig происходит под видом легитимной утилиты find.exe. Чтобы обеспечить постоянную работу этого "сервиса", в планировщике Windows создается специальная задача.

С начала февраля "Лаборатория Касперского" зарегистрировала более 7000 уникальных попыток установки поддельных приложений в рамках текущей кампании. В пиковые дни злоумышленники проводили свыше 2500 атак - в основном на территории РФ и других стран СНГ.

Исследователи полагают, что нынешние атаки являются продолжением летней кампании, которую выявила Avast. Тогда злоумышленники распространяли вредоносное ПО под видом установщика антивируса Malwarebytes.