Minas to wieloetapowe złośliwe oprogramowanie typu Cryptominer

Minas, złośliwe oprogramowanie przeznaczone do wydobywania kryptowalut, jest podstępnym zagrożeniem wykorzystującym aplikację XMRIG, pierwotnie przeznaczoną do legalnego wydobywania Monero. Ten szczególny rodzaj złośliwego oprogramowania wywiera ogromną presję na zainfekowane maszyny, zagrażając w ten sposób ogólnej kondycji systemu i jego sprzętu.

Minas stosuje różne wyrafinowane techniki, aby uniknąć wykrycia i zapewnić długowieczność. Jego głównym celem jest angażowanie się w wydobywanie kryptowalut, proces polegający na wykorzystaniu mocy komputera do rozwiązywania złożonych problemów matematycznych w celu generowania cyfrowej waluty.

Kopanie wymaga solidnego sprzętu, co skłania cyberprzestępców do wykorzystywania w tym celu urządzeń niczego niepodejrzewających ofiar lub wykorzystywania całych botnetów zamiast inwestowania we własny sprzęt.

Łańcuch infekcji Minas, krok po kroku

Podsumowanie łańcucha infekcji wygląda następująco:

• Za pomocą Harmonogramu zadań wykonywany jest skrypt PowerShell, który pobiera plik lgntoerr.gif ze zdalnego serwera.
• Po odszyfrowaniu lgntoerr.gif przekształca się w bibliotekę .NET DLL, która jest następnie ładowana.
• Biblioteka .NET DLL wyodrębnia i odszyfrowuje trzy pliki: dwie biblioteki DLL i zaszyfrowany ładunek, umieszczając je w katalogu ProgramData.
• Zadanie jest tworzone przez bibliotekę .NET DLL w celu automatycznego uruchomienia legalnego składnika ilasm.exe podczas uruchamiania systemu przy użyciu Harmonogramu zadań.
• Harmonogram zadań inicjuje program ilasm.exe z katalogu ProgramData.
• ilasm.exe uruchamia fusion.dll, złośliwego porywacza DLL, również rezydującego w tym samym katalogu.
• fusion.dll ładuje drugą odszyfrowaną bibliotekę DLL.
• Druga biblioteka DLL generuje zawieszony proces dllhost.exe.
• Ładunek w zaszyfrowanym pliku binarnym jest odszyfrowywany przez drugą bibliotekę DLL.
• Odszyfrowany ładunek jest wstrzykiwany do procesu dllhost.exe jako biblioteka DLL.
• Identyfikator procesu (PID) procesu dllhost.exe jest zapisywany w pliku w katalogu ProgramData.
• Kontrola jest przekazywana do odszyfrowanego ładunku w ramach procesu dllhost.exe.
• DLL ładunku wyodrębnia i uruchamia bibliotekę DLL górnika w pamięci komputera.
• Zasadniczo kroki te opisują postęp łańcucha infekcji, a każdy etap przyczynia się do wykonania złośliwego komponentu górnika.

Dlaczego kryptowaluty są zagrożeniem dla całego systemu?

Wykorzystując zasoby systemowe, takie jak procesory i karty graficzne, górnicy kryptowalut zużywają znaczną ilość mocy obliczeniowej do generowania walut cyfrowych. To nieautoryzowane i nadmierne użycie może zmonopolizować do 100% zasobów urządzenia, powodując częste zawieszanie się systemu, awarie i inne poważne problemy, które sprawiają, że urządzenie, którego dotyczy problem, jest praktycznie bezużyteczne.

Ponadto nadmierne obciążenie systemu może spowodować przegrzanie. W połączeniu z innymi czynnikami, takimi jak słaba wentylacja, wysoka temperatura w pomieszczeniu i podobne warunki, to nadmierne ciepło może spowodować nieodwracalne uszkodzenia sprzętu, zasadniczo „smażąc” komponenty.

Podsumowując, obecność Minas lub podobnego złośliwego oprogramowania na urządzeniach może mieć tragiczne konsekwencje. Obejmują one zmniejszoną wydajność systemu, awarie systemu, trwałą utratę danych, pogorszenie stanu sprzętu i znaczne straty finansowe.