Nedavno je otkriven interesantan novi malver koji na osnovu konfiguracije vašeg sistema odlučuje da li je isplativije da vas zarazi ransomwareom ili minerom za rudarenje kripto valuta.

Ransomware je malver koji zaključava računar, odnosno sve fajlove na njemu. Kako bi otključali računar, napadači od korisnika zahtevaju da plati otkupninu. Miner za rudarenje kripto valuta funkcioniše tako što iskorišćava snagu zaraženog računara. Obe pretnje (ransomware i miner) su ove godine u vrhu liste sajber pretnji. Sličnosti između njih su sledeće:

• Napadi nisu sofisticirani ni ciljani (nasumično se napadaju korisnici).
• Cilj je novac.
• Bitan aspekt ovih pretnji je digitalna valuta.

S obzirom na to da zaključavanje računara ne garantuje da će žrtva uvek platiti otkupninu, poslednjih meseci sajber kriminalci sve više praktikuju nov metod za zaradu pomoću računara žrtve – minere za rudarenje kripto valuta.

Istraživači su nedavno otkrili novu varijantu malvera koja dolazi iz Rakhni ransomware familije. Nadograđena verzija sada ima i sposobnost rudarenja kripto valuta. Rakhni malver je pisan u programskom jeziku Delphi, a distribuira se preko spear-phishing emaila u kome se nalazi atačment sa Word dokumentom. Kada se atačment otvori, pojavi se prozor koji pita žrtva da sačuva dokument i omogući uređivanje. U dokumentu se nalazi i PDF ikona, a klikom na nju pokreće se maliciozni exe fajl i pojavljuje se lažna poruka o grešci kako bi žrtva pomislila da za otvaranje dokumenta nedostaje sistemski fajl.

Kako malver donosi odluku?

Malver obavlja brojne anti-VM i anti-sandbox provere u pozadini kako bi video da li može neprimetno zaraziti sistem. Ukoliko se steknu uslovi, malver obavlja dodatne provere kako bi odlučio da li će konačni payload biti ransomware ili miner. Rakhni radi sledeće:

1. Instalira ransomware ukoliko se u sistemu nalazi ’Bitcoin’ folder u AppData sekciji. Pre kriptovanja fajlova RSA-1024 enkripcijskim algoritmom, malver gasi sve procese koji se nalaze na unapred definisanoj listi popularnih aplikacija, a zatim prikazuje poruku o otkupnini u text fajlu.
2. Instalira miner za rudarenje kripto valuta ukoliko u sistemu ne postoji ’Bitcoin’ folder i ukoliko mašina ima više od 2 logička procesora. U ovom slučaju, malver koristi aplikaciju MinerGate kako bi u pozadini rudario Monero (XMR), Monero Original (XMO) i Dashcoin (DSH). Osim toga, malver koristi CertMgr.exe kako bi instalirao lažni root sertifikat koji je navodno izdao Microsoft Corporation i Adobe Systems Incorporated, a sve kako bi se miner maskirao kao legitiman proces.
3. Aktivira komponentu crva ukoliko ne postoji ’Bitcoin’ folder i ukoliko računar ima samo jedan logički procesor. Ova komponenta omogućava kopiranje malvera na sve računare koji se nalaze u local networku i koriste zajedničke resurse. Trojanac proverava da li korisnici sa liste dele folder ’Users’. Ukoliko dele, onda se malver kopira u folder \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup na svim dostupnim računarima.

Bez obzira koji metod infekcije odabere, malver proverava da li je pokrenut neki od procesa sa liste antivirusa. Ukoliko nije, malver pokreće nekoliko cmd komandi kako bi onemogućio Windows Defender.

Istraživači napominju da ovaj malver ima i neke spyware osobine – njegove poruke uključuju listu pokrenutih procesa i atačmente sa snimcima ekrana.

Ko je pogođen?

Mete napada prevashodno dolaze iz Rusije (95.5%), a manji broj napada zabeležen je i u Kazahstanu, Ukrajini, Nemačkoj i Indiji. Najbolji način da se zaštitite od ove i sličnih pretnji je da ne otvarate sumnjive fajlove i linkove iz emaila. Poželjno je da redovno vršite backup i da uredno ažurirate AV i sve aplikacije.

Izvor: The Hacker News