Minas is een meertraps cryptominer-malware

Minas, kwaadaardige software die is ontworpen voor cryptocurrency-mining, is een verraderlijke dreiging die misbruik maakt van de XMRIG-applicatie, oorspronkelijk bedoeld voor legitieme Monero-mining. Dit specifieke type malware oefent een enorme druk uit op geïnfecteerde machines, waardoor de algehele gezondheid van het systeem en de hardware in gevaar komt.

Minas maakt gebruik van verschillende geavanceerde technieken om detectie te voorkomen en de levensduur te garanderen. Het primaire doel is om deel te nemen aan het delven van cryptocurrencies, een proces waarbij computerkracht wordt gebruikt om complexe wiskundige problemen op te lossen om digitale valuta te genereren.

Mijnbouw vereist robuuste hardware, wat cybercriminelen ertoe aanzet om vaak de apparaten van nietsvermoedende slachtoffers uit te buiten of hele botnets voor dit doel te gebruiken, in plaats van te investeren in hun eigen apparatuur.

De Minas-infectieketen, stap voor stap

De samenvatting van de infectieketen gaat als volgt:

• Via de Taakplanner wordt een PowerShell-script uitgevoerd, dat het bestand lgntoerr.gif ophaalt van een externe server.
• Bij decodering verandert lgntoerr.gif in een .NET DLL, die vervolgens wordt geladen.
• De .NET DLL extraheert en decodeert drie bestanden: twee DLL's en een gecodeerde payload, en plaatst ze in de ProgramData-directory.
• Er wordt een taak gemaakt door de .NET DLL om automatisch de legitieme component ilasm.exe uit te voeren tijdens het opstarten van het systeem met Taakplanner.
• Taakplanner start ilasm.exe vanuit de ProgramData-directory.
• ilasm.exe lanceert fusion.dll, een kwaadaardige DLL-kaper, die zich ook in dezelfde map bevindt.
• fusion.dll laadt de tweede gedecodeerde DLL.
• De tweede DLL genereert een opgeschort dllhost.exe-proces.
• De payload in het gecodeerde binaire bestand wordt gedecodeerd door de tweede DLL.
• De gedecodeerde payload wordt als een DLL in het dllhost.exe-proces geïnjecteerd.
• De proces-ID (PID) van het proces dllhost.exe wordt opgeslagen in een bestand in de map ProgramData.
• De controle wordt doorgegeven aan de gedecodeerde payload binnen het dllhost.exe-proces.
• De payload-DLL extraheert en voert de miner-DLL uit in het geheugen van de computer.
• In essentie schetsen deze stappen de voortgang van de infectieketen, waarbij elke fase bijdraagt aan de uitvoering van de kwaadaardige miner-component.

Waarom zijn cryptominers een bedreiging voor het systeem als geheel?

Door gebruik te maken van systeembronnen zoals CPU's en GPU's, verbruiken cryptominers een aanzienlijke hoeveelheid rekenkracht om digitale valuta's te genereren. Dit ongeoorloofde en buitensporige gebruik kan tot 100% van de bronnen van het apparaat monopoliseren, wat resulteert in frequente systeembevriezingen, crashes en andere ernstige problemen die het getroffen apparaat vrijwel onbruikbaar maken.

Bovendien zal de overmatige belasting van het systeem waarschijnlijk oververhitting veroorzaken. In combinatie met andere factoren, zoals slechte ventilatie, hoge kamertemperatuur en vergelijkbare omstandigheden, kan deze overmatige hitte onomkeerbare schade toebrengen aan de hardware, waardoor de componenten in wezen worden "gebakken".

Samenvattend kan de aanwezigheid van Minas of soortgelijke kwaadaardige software op apparaten ernstige gevolgen hebben. Deze omvatten verminderde systeemprestaties, systeemstoringen, permanent verlies van gegevens, verslechtering van de hardware en aanzienlijke financiële verliezen.