Jump to content

Ошибка BSOD выдала скрытый в файлах WAV криптомайнер


Recommended Posts

Компьютерная сеть одной из медицинских компаний оказалась заражена вредоносным ПО для добычи криптовалюты Monero. Обнаружить атаку удалось после анализа компьютеров, на которых возникла ошибка синего экрана смерти (Blue Screen of Death, BSoD).

Вредоносная программа скрывалась в аудиофайлах WAV и распространялась на уязвимые системы под управлением Windows 7 в сети через EternalBlue — эксплоит для уязвимости в Windows-реализации протокола SMBv1, который использовался в кибератаках WannaCry и NotPetya в 2017 году.

Исследователи безопасности из компании Guardicore обнаружили, что с 14 октября 2019 года было взломано более 800 компьютеров вышеуказанной компании.

Как отметили специалисты, зараженные машины обращались к данным в разделе реестра (HKLM\Software\Microsoft\Windows\CurrentVersion\Shell) и выполняли довольно длинную команду, которая на самом деле оказалась PowerShell-скриптом, закодированным в base-64.

Процесс загрузки вредоносных программ состоял из развертывания двух процессов с именами cscdll.dll и cscomp.dll, ответственных за «компиляцию C# и выполнение, когда код C# загружался и выполнялся из памяти».

Загружаемый код оказался майнером криптовалюты Monero, использовавшим алгоритм CryptonightR для добычи цифровых средств. Для того, чтобы избежать обнаружения, преступники воспользовались техникой стенографии и встроили вредонос в аудиофайлы WAV. Другой скрытый подобным образом модуль был предназначен для сканирования сети и перемещения в ней.

Link to comment

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...