Исследователи кибербезопасности из ESET заявили, что они уничтожили часть вредоносного ботнета, содержащего не менее 35 000 скомпрометированных систем Windows, которые злоумышленники тайно использовали для майнинга криптовалюты Monero.
Ботнет, названный «VictoryGate», активен с мая 2019 года, причем инфекции, в основном, зарегистрированы в Латинской Америке, особенно в Перу, на которые приходится 90% скомпрометированных устройств.
«Основным видом деятельности ботнета является майнинг криптовалюты Monero, — сказали в ESET . «Жертвами являются организации как в государственном, так и в частном секторах, включая финансовые учреждения».
ESET заявили, что они работали с динамическим поставщиком DNS No-IP для устранения вредоносных командно-контрольных (C2) серверов и что она создала поддельные домены (или «провалы») для мониторинга активности ботнета.
По данным, полученным из «скважины», ежедневно в течение февраля-марта этого года от 2000 до 3500 зараженных компьютеров подключались к серверам C2.
По словам исследователей ESET, VictoryGate распространяется через съемные устройства, такие как USB-накопители, которые при подключении к компьютеру-жертве устанавливают в систему вредоносные файлы.
Кроме того, модуль также связывается с сервером C2 для получения вторичной полезной нагрузки, которая внедряет произвольный код в легитимные процессы Windows, например, вводит программное обеспечение для майнинга XMRig в процесс ucsvc.exe (утилиту обслуживания загрузочных файлов), тем самым облегчая майнинг Monero.
«Исходя из данных, собранных во время нашей деятельности по поглощению, мы можем определить, что в среднем в течение дня устанавливается до 2000 устройств», — сказали исследователи. «Если мы оценим среднюю скорость хэширования 150H/s, мы могли бы сказать, что авторы этой кампании собрали по меньшей мере 80 Monero (примерно 6000 долларов) только из одного этого ботнета».
С помощью USB-накопителей, используемых в качестве вектора распространения, ESET предупреждает о новых заражениях, которые могут произойти в будущем. Но со значительной частью инфраструктуры C2 воронки, боты больше не будут получать вторичные полезные нагрузки. Тем не менее, те, которые были скомпрометированы до того, как серверы C2 были отключены, все равно будут продолжать добывать Monero.
«Одной из интересных характеристик VictoryGate является то, что он прилагает больше усилий, чтобы избежать обнаружения, чем предыдущие, подобные кампании в регионе», — заключила исследовательская группа.
Необходимо учитывать тот факт, что ботмастер может обновлять функциональность полезных нагрузок, которые загружаются и выполняются на зараженных устройствах, от крипто-майнинга до любых других вредоносных действий в любой момент времени.