Головний антивірусний експерт «Лабораторії Касперського» Олександр Гостєв розповів в блозі компанії про цікаву тенденцію , Поміченою в кіберкрімінальной середовищі в останні місяці. Здавалося б, в наші дні зламувати комп'ютери нічого не підозрюють користувачів з метою Майнінг криптовалюта - це утопія, і так вже практично ніхто не робить. Однак з появою кріповалюти Zcash ситуація змінилася.
Zcash (ZEC) з'явився 28 жовтня 2016 року, і розробники охарактеризували своє дітище так: «Якщо біткойнов можна порівняти з http для грошей, то Zcash - це https». Криптовалюта дійсно має цікаву особливість: транзакції Zcash дозволяють приховати відправника, одержувача і суму угоди. Такий рівень анонімності відразу привернув увагу інвесторів, Майнер і, звичайно, кіберзлочинців.
На старті вартість 1 ZEC доходила до $ 30 000, але незабаром курс прийшов до більш адекватних показників, і в даний час тримається на позначці 0,07 - 0,01 ZEC / BTC (близько $ 70). Проте, Майнінг Zcash залишається одним з найбільш прибуткових в порівнянні з іншими існуючими криптовалюта.
Гостєв пише, що це призвело до відродження одного з видів кіберзлочинності діяльності - створення ботнетів для Майнінг, число яких в останні роки скоротилося практично до нуля, в силу низької прибутковості подібних операцій.
Рейтинг прибутковості Майнінг криптовалюта за даними сайту CoinWarz
У листопаді 2016 року фахівці «Лабораторії Касперського» зафіксували кілька інцидентів, пов'язаних з несанкціонованою установкою програм для Майнінг Zcash на комп'ютери користувачів. При цьому програми самі по собі не є шкідливими, тобто більшість антивірусних рішень або не реагують на них зовсім, або визначають як потенційно небажане ПО (PUP, potentally unwanted programs).
Поширюються Майнер цілком стандартними способами: їх встановлюють під виглядом інших легальних програм, включаючи до складу різних програмних пакетів, зокрема, піратського ПО, розповсюджуваного через торренти. Поки дослідники не зафіксували жодного випадку масових розсилок або поширення Майнер за допомогою експлойтів на сайтах, однак вони попереджають, що якщо поточна прибутковість Майнінг збережеться на тому ж рівні, поява інших механізмів поширення - лише питання часу.
«Через те, що майніговое ПО не є шкідливим як таким, більшість захисних рішень детектирует його як чисте. У минулому з біткойнов це призвело до появи так званих майнінгових ботнетів - мереж заражених комп'ютерів, чиї потужності використовувалися для генерації криптовалюта. Зрештою процес Майнінг біткойнов втратив будь-який сенс через колосально зрослих витрат часу і енергоресурсів, і всі ці ботнети самі собою зникли. Але тепер, з появою Zcash, історія може повторитися », - пояснює Олександр Гостєв.
В даний час найбільш активно використовується nheqminer від Майнінг-пулу Nicehash. Відомі два його варіанти, один з них отримує виплати в Bitcoin, другий в Zcash. Продуктами «Лабораторії Касперського» вони визначаються як not-a-virus: RiskTool.Win64.BitCoinMiner.bez і not-a-virus: RiskTool.Win64.BitCoinMiner.bfa.
Дослідники виявили близько 1000 унікальних користувачів, у яких установлено один із варіантів Майнера Zcash з ім'ям, відмінним від стандартного (тобто мова, швидше за все, йде про зараження системи потай від її власника). Якщо середній комп'ютер здатний Майні близько 20 хешів в секунду, а це означає близько 20 000 хешів в секунду від тисячі інфікованих машин. Виходить, що дохід операторів малварі становить приблизно $ 6200 в місяць або $ 75 000 на рік.
Під якими іменами Майнер маскуються в системі? Під різними, в тому числі маскуються під Task Manager і інші законне програмне забезпечення. У блозі «Лабораторії Касперського» перераховані такі приклади:
• diskmngr.exe
• mssys.exe
• C: \ system \ taskmngr.exe
• system.exe
• nsdiag.exe
• taskmngr.exe
• svchost.exe
• C: \ Users \ [username] \ AppData \ Roaming \ MetaData \ mdls \ windlw \ mDir_r \ rhost.exe
• qzwzfx.exe
• C: \ Users \ [username] \ AppData \ Local \ Temp \ afolder \ mscor.exe
• C: \ Program Files \ Common Files \ nheqminer64.exe
• C: \ Windows \ Logs \ Logsfiles64 \ conhost.exe
• apupd.exe
З детальним технічним звітом про Майнер можна ознайомитися тут .
Під якими іменами Майнер маскуються в системі?