В прошлом мы уже сообщали несколько атак с участием вредоносных программ, который превращает поврежденные системы в Bitcoin шахтеров, и мы также сказали, что киберпреступники будут все чаще делать это в будущем. В последнее время мы столкнулись с другой вредоносным -a знакомого и известного семейством вредоносных программ - что превращает систему в шахтера Bitcoin.

TDL4 является хорошо известным вариантом семейства TDSS вредоносных программ, известным уклонения от обнаружения антивирусных продуктов, заражая загрузочный сектор уязвимых систем. Мы событие, связанное с TDSS мониторинг, и в начале этого года мы видели TDL4 процедуру распространения экспоната через компонент червя, который Trend Micro определяет, как WORM_OTORUN.ASH.

В нашем исследовании мы обнаружили, что последние варианты WORM_OTORUN.ASH содержат код, который пытается участвовать в Bitcoin бассейне, Deepbit.



Скриншот на рисунке 1 показаны некоторые параметры, которые включают в себя «getwork», который является параметром, чтобы получить работу из горного бассейна. Задание представляет собой блок заголовок Bitcoin, который шахтер, (в данном случае пораженных систем) хэш для того, чтобы заработать долю Bitcoin. В Bitcoin пулы пользователи зарегистрироваться и присоединиться к сети шахтеров работать на одних и тех же рабочих мест для более быстрой выплаты.


Основываясь на данном Trend Micro ™ Smart Protection Network ™, распространение WORM_OTORUN.ASH расширилось на другие части земного шара в течение последних нескольких месяцев. Trend Micro ™ Smart Protection Network ™ постоянно анализирует данные обратной связи миллионов клиентов по всему миру, в том числе географического распространения вредоносных программ. Это позволяет нам отслеживать, насколько широко распространена какая-либо конкретная вредоносная программа в режиме реального времени, а также определить другие действия, которые могут быть приняты для уменьшения угрозы.

Для получения более четкой иллюстрации, обратитесь к рисунку 2 ниже.



Во время нашего мониторинга, мы наблюдали, как хорошо, что командование и управление WORM_OTORUN.ASH (в C&C) сервера были организованы сомнительными провайдерами услуг Интернета (ISP), расположенных в Европе, особенно в Украине, Румынии и Нидерландах.

Является Там что-то новое?

На самом деле, нет. Киберпреступники будут продолжать искать пути монетизации своих злонамеренных действий, а Bitcoin это просто новый способ для них, чтобы сделать это. Bitcoin заслужил внимание мошенников по нескольким причинам, одна из которых является тот факт, что Bitcoin является прямым источником дохода.

Кроме того, концепция объединенном добычи дополняет характер ботнетов - несколько компьютеров зомби способствуют генерации блока Bitcoin, и награда будет в конечном итоге в руках киберпреступников - за счет инфицированных потребителей.

Это доказывает, что не очень хорошая новость для жертв, так как Bitcoin-добывающие Боты, вероятно, есть ресурсы зараженных систем. На более позитивной ноте, однако, добыча Bitcoin будет поставить под угрозу скрытность от вредоносным с высокой загрузкой процессора может привести пользователя к подозреваемой инфекции системы.

Как видно из TDL4 и WORM_OTORUN.ASH, это не удивило бы меня, если добыча Bitcoin становится тенденцией в современных ботнетов. Мы могли бы просто столкнуться с более BOTcoin шахтеров в ближайшем будущем.