Дослідники з ікібербезпеки виявили, що ботнет-кампанія криптовалютного майнінгу інноваційно використовує біткоїн-блокчейн, щоб запобігти демаскуванню та знешкодженню своїх серверів управління.
Аналізуючи тривалу ботнет-кампанію майнінгу криптовалют, Чад Сіман з Akamai виявив, що її оператори замаскували IP-адресу сервера резервного керування (C&C) за допомогою блокчейна біткоїнів, повідомляє Techradar.
У грудні 2020 року Сіман помітив наявність адреси біткоїн-гаманця у нових варіантах шкідливого програмного забезпечення, а також деякі інші деталі.
“При подальшому вивченні цих доповнень стало зрозуміло, що дані гаманця, що отримуються з API, використовуються для обчислення IP-адреси. Потім ця IP-адреса використовується для забезпечення стійкості та додаткових операцій зараження”, – зазначає Сіман у своєму аналізі шкідливого програмного забезпечення.
Експерти з безпеки регулярно видаляють сервери C&C для демонтажу ботнетів. Проте Сіман зазначає, що ця конкретна криптовалютна ботнет-кампанія функціонує вже понад три років, протягом яких вона видобула Monero на суму понад 30 тисяч доларів.
Оператори шкідливого програмного забезпечення постійно адаптуються до демаскування серверів, їхнього знищення та інших невдач, щоб забезпечити безперервність кампанії.
Використання біткоїн-блокчейну – це один із таких кроків, який забезпечить, щоб заражені машини завжди мали резервний C&C-сервер, який буде ними керувати, навіть якщо основний сервер виведено з ладу.
Вражений новим підходом, Сіман зауважує, що оператори вбудували інформацію про конфігурацію в носій, який не може бути вилучений або підданий цензурі.
“За допомогою цього методу оператори кампанії перетворили потенційні наступальні дії на свою інфраструктуру із серйозних збоїв у те, що можна швидко та легко відновити”, – каже дослідник.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ
Що таке спуфінг і як запобігти атаці? ПОРАДИ
Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу
Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ
Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ
Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ
Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ
Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.
Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.
Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.
Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.
