Minas — многоступенчатая вредоносная программа для криптомайнинга

Minas, вредоносное программное обеспечение, предназначенное для майнинга криптовалюты, представляет собой коварную угрозу, которая использует приложение XMRIG, изначально предназначенное для законного майнинга Monero. Этот конкретный тип вредоносного ПО оказывает огромное давление на зараженные машины, тем самым ставя под угрозу общее состояние системы и ее оборудования.

Минас использует различные сложные методы, чтобы избежать обнаружения и обеспечить его долговечность. Его основная цель — добыча криптовалюты, процесс, который включает в себя использование вычислительной мощности для решения сложных математических задач с целью создания цифровой валюты.

Для майнинга требуется надежное оборудование, что побуждает киберпреступников часто использовать устройства ничего не подозревающих жертв или использовать для этой цели целые ботнеты, а не вкладывать средства в собственное оборудование.

Цепь заражения Минаса, шаг за шагом

Вкратце цепочка заражения выглядит следующим образом:

• Через планировщик заданий выполняется сценарий PowerShell, извлекающий файл lgntoerr.gif с удаленного сервера.
• После расшифровки lgntoerr.gif преобразуется в .NET DLL, которая затем загружается.
• .NET DLL извлекает и расшифровывает три файла: две DLL и зашифрованную полезную нагрузку, помещая их в каталог ProgramData.
• .NET DLL создает задачу для автоматического запуска законного компонента ilasm.exe во время запуска системы с помощью планировщика заданий.
• Планировщик заданий инициирует ilasm.exe из каталога ProgramData.
• ilasm.exe запускает fusion.dll, вредоносный угонщик DLL, также находящийся в том же каталоге.
• fusion.dll загружает вторую расшифрованную DLL.
• Вторая DLL создает приостановленный процесс dllhost.exe.
• Полезная нагрузка в зашифрованном двоичном файле расшифровывается второй библиотекой DLL.
• Расшифрованная полезная нагрузка внедряется в процесс dllhost.exe в виде DLL.
• Идентификатор процесса (PID) процесса dllhost.exe сохраняется в файле в каталоге ProgramData.
• Управление передается расшифрованной полезной нагрузке в процессе dllhost.exe.
• DLL полезной нагрузки извлекает и запускает DLL майнера в памяти компьютера.
• По сути, эти шаги описывают развитие цепочки заражения, причем каждый этап способствует выполнению вредоносного компонента майнера.

Почему криптомайнеры представляют угрозу для системы в целом?

Используя системные ресурсы, такие как процессоры и графические процессоры, криптомайнеры потребляют значительный объем вычислительной мощности для создания цифровых валют. Это несанкционированное и чрезмерное использование может привести к монополизации до 100% ресурсов устройства, что приведет к частым зависаниям системы, сбоям и другим серьезным проблемам, которые делают затронутое устройство практически непригодным для использования.

Более того, чрезмерная нагрузка на систему может привести к перегреву. В сочетании с другими факторами, такими как плохая вентиляция, высокая температура в помещении и подобные условия, это чрезмерное тепло может нанести необратимый ущерб оборудованию, по существу «поджаривая» компоненты.

Подводя итог, можно сказать, что наличие Minas или аналогичного вредоносного программного обеспечения на устройствах может иметь тяжелые последствия. К ним относятся снижение производительности системы, системные сбои, безвозвратная потеря данных, износ оборудования и значительные финансовые потери.