A Minas egy többlépcsős Cryptominer malware
A Minas, a kriptovaluta bányászatára kifejlesztett rosszindulatú szoftver egy alattomos fenyegetés, amely kihasználja az eredetileg legitim Monero bányászatra szánt XMRIG alkalmazást. A rosszindulatú programoknak ez a típusa óriási nyomást gyakorol a fertőzött gépekre, ezáltal veszélyezteti a rendszer és hardverének általános állapotát.
A Minas különféle kifinomult technikákat alkalmaz az észlelés elkerülésére és annak hosszú élettartamának biztosítására. Elsődleges célja, hogy részt vegyen a kriptovaluták bányászatában, egy olyan folyamatban, amely magában foglalja a számítógépes teljesítmény felhasználását összetett matematikai problémák megoldására a digitális valuta előállítása érdekében.
A bányászathoz robusztus hardverre van szükség, ami arra készteti a kiberbűnözőket, hogy gyakran használják ki a gyanútlan áldozatok eszközeit, vagy egész botneteket használjanak fel erre a célra, ahelyett, hogy saját felszerelésükbe fektetnének be.
A Minas fertőzési lánc lépésről lépésre
A fertőzési lánc összefoglalása a következő:
- A Feladatütemezőn keresztül egy PowerShell-szkript fut le, amely lekéri az lgntoerr.gif fájlt egy távoli kiszolgálóról.
- A visszafejtés után az lgntoerr.gif .NET DLL-vé alakul, amely ezután betöltődik.
- A .NET DLL három fájlt bont ki és visszafejt: két DLL-t és egy titkosított hasznos adatot, és a ProgramData könyvtárba helyezi őket.
- A .NET DLL létrehoz egy feladatot, amely automatikusan futtatja a legitim ilasm.exe összetevőt a rendszer indításakor a Feladatütemező segítségével.
- A Feladatütemező elindítja az ilasm.exe fájlt a ProgramData könyvtárból.
- Az ilasm.exe elindítja a fusion.dll fájlt, egy rosszindulatú DLL-eltérítőt, amely szintén ugyanabban a könyvtárban található.
- A fusion.dll betölti a második visszafejtett DLL-t.
- A második DLL egy felfüggesztett dllhost.exe folyamatot hoz létre.
- A titkosított bináris fájlban lévő hasznos adatot a második DLL dekódolja.
- A visszafejtett hasznos adatot a rendszer DLL-ként injektálja a dllhost.exe folyamatba.
- A dllhost.exe folyamat folyamatazonosítója (PID) egy fájlba kerül mentésre a ProgramData könyvtárban.
- A vezérlés a dllhost.exe folyamaton belül a visszafejtett hasznos adatra kerül.
- A hasznos DLL kivonja és végrehajtja a bányász DLL-t a számítógép memóriájában.
- Lényegében ezek a lépések felvázolják a fertőzési lánc előrehaladását, és mindegyik szakasz hozzájárul a rosszindulatú bányászkomponens végrehajtásához.
Miért jelentenek veszélyt a kriptobányászok a rendszer egészére?
A rendszer-erőforrások, például a CPU-k és a GPU-k kihasználásával a kriptobányászok jelentős mennyiségű számítási energiát fogyasztanak a digitális valuták előállításához. Ez a jogosulatlan és túlzott használat az eszköz erőforrásainak akár 100%-át is monopolizálhatja, ami gyakori rendszerlefagyáshoz, összeomláshoz és egyéb súlyos problémákhoz vezethet, amelyek gyakorlatilag használhatatlanná teszik az érintett eszközt.
Ezenkívül a rendszer túlzott igénybevétele valószínűleg túlmelegedést okozhat. Más tényezőkkel, mint például a rossz szellőzés, a magas szobahőmérséklet és hasonló körülmények kombinálva ez a túlzott hő visszafordíthatatlan károkat okozhat a hardverben, lényegében "süti" az alkatrészeket.
Összefoglalva, a Minas vagy hasonló rosszindulatú szoftverek jelenléte az eszközökön súlyos következményekkel járhat. Ide tartozik a csökkent rendszerteljesítmény, rendszerhibák, állandó adatvesztés, hardverromlás és jelentős pénzügyi veszteségek.