A Minas egy többlépcsős Cryptominer malware

A Minas, a kriptovaluta bányászatára kifejlesztett rosszindulatú szoftver egy alattomos fenyegetés, amely kihasználja az eredetileg legitim Monero bányászatra szánt XMRIG alkalmazást. A rosszindulatú programoknak ez a típusa óriási nyomást gyakorol a fertőzött gépekre, ezáltal veszélyezteti a rendszer és hardverének általános állapotát.

A Minas különféle kifinomult technikákat alkalmaz az észlelés elkerülésére és annak hosszú élettartamának biztosítására. Elsődleges célja, hogy részt vegyen a kriptovaluták bányászatában, egy olyan folyamatban, amely magában foglalja a számítógépes teljesítmény felhasználását összetett matematikai problémák megoldására a digitális valuta előállítása érdekében.

A bányászathoz robusztus hardverre van szükség, ami arra készteti a kiberbűnözőket, hogy gyakran használják ki a gyanútlan áldozatok eszközeit, vagy egész botneteket használjanak fel erre a célra, ahelyett, hogy saját felszerelésükbe fektetnének be.

A Minas fertőzési lánc lépésről lépésre

A fertőzési lánc összefoglalása a következő:

• A Feladatütemezőn keresztül egy PowerShell-szkript fut le, amely lekéri az lgntoerr.gif fájlt egy távoli kiszolgálóról.
• A visszafejtés után az lgntoerr.gif .NET DLL-vé alakul, amely ezután betöltődik.
• A .NET DLL három fájlt bont ki és visszafejt: két DLL-t és egy titkosított hasznos adatot, és a ProgramData könyvtárba helyezi őket.
• A .NET DLL létrehoz egy feladatot, amely automatikusan futtatja a legitim ilasm.exe összetevőt a rendszer indításakor a Feladatütemező segítségével.
• A Feladatütemező elindítja az ilasm.exe fájlt a ProgramData könyvtárból.
• Az ilasm.exe elindítja a fusion.dll fájlt, egy rosszindulatú DLL-eltérítőt, amely szintén ugyanabban a könyvtárban található.
• A fusion.dll betölti a második visszafejtett DLL-t.
• A második DLL egy felfüggesztett dllhost.exe folyamatot hoz létre.
• A titkosított bináris fájlban lévő hasznos adatot a második DLL dekódolja.
• A visszafejtett hasznos adatot a rendszer DLL-ként injektálja a dllhost.exe folyamatba.
• A dllhost.exe folyamat folyamatazonosítója (PID) egy fájlba kerül mentésre a ProgramData könyvtárban.
• A vezérlés a dllhost.exe folyamaton belül a visszafejtett hasznos adatra kerül.
• A hasznos DLL kivonja és végrehajtja a bányász DLL-t a számítógép memóriájában.
• Lényegében ezek a lépések felvázolják a fertőzési lánc előrehaladását, és mindegyik szakasz hozzájárul a rosszindulatú bányászkomponens végrehajtásához.

Miért jelentenek veszélyt a kriptobányászok a rendszer egészére?

A rendszer-erőforrások, például a CPU-k és a GPU-k kihasználásával a kriptobányászok jelentős mennyiségű számítási energiát fogyasztanak a digitális valuták előállításához. Ez a jogosulatlan és túlzott használat az eszköz erőforrásainak akár 100%-át is monopolizálhatja, ami gyakori rendszerlefagyáshoz, összeomláshoz és egyéb súlyos problémákhoz vezethet, amelyek gyakorlatilag használhatatlanná teszik az érintett eszközt.

Ezenkívül a rendszer túlzott igénybevétele valószínűleg túlmelegedést okozhat. Más tényezőkkel, mint például a rossz szellőzés, a magas szobahőmérséklet és hasonló körülmények kombinálva ez a túlzott hő visszafordíthatatlan károkat okozhat a hardverben, lényegében "süti" az alkatrészeket.

Összefoglalva, a Minas vagy hasonló rosszindulatú szoftverek jelenléte az eszközökön súlyos következményekkel járhat. Ide tartozik a csökkent rendszerteljesítmény, rendszerhibák, állandó adatvesztés, hardverromlás és jelentős pénzügyi veszteségek.