Перейти к содержанию

Ошибка BSOD выдала скрытый в файлах WAV криптомайнер


Рекомендуемые сообщения

Компьютерная сеть одной из медицинских компаний оказалась заражена вредоносным ПО для добычи криптовалюты Monero. Обнаружить атаку удалось после анализа компьютеров, на которых возникла ошибка синего экрана смерти (Blue Screen of Death, BSoD).

Вредоносная программа скрывалась в аудиофайлах WAV и распространялась на уязвимые системы под управлением Windows 7 в сети через EternalBlue — эксплоит для уязвимости в Windows-реализации протокола SMBv1, который использовался в кибератаках WannaCry и NotPetya в 2017 году.

Исследователи безопасности из компании Guardicore обнаружили, что с 14 октября 2019 года было взломано более 800 компьютеров вышеуказанной компании.

Как отметили специалисты, зараженные машины обращались к данным в разделе реестра (HKLM\Software\Microsoft\Windows\CurrentVersion\Shell) и выполняли довольно длинную команду, которая на самом деле оказалась PowerShell-скриптом, закодированным в base-64.

Процесс загрузки вредоносных программ состоял из развертывания двух процессов с именами cscdll.dll и cscomp.dll, ответственных за «компиляцию C# и выполнение, когда код C# загружался и выполнялся из памяти».

Загружаемый код оказался майнером криптовалюты Monero, использовавшим алгоритм CryptonightR для добычи цифровых средств. Для того, чтобы избежать обнаружения, преступники воспользовались техникой стенографии и встроили вредонос в аудиофайлы WAV. Другой скрытый подобным образом модуль был предназначен для сканирования сети и перемещения в ней.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...