35000 računara zaraženo malverom VictoryGate koji ih koristi za rudarenje kriptovalute

Vesti, 27.04.2020, 09:00 AM

Istraživači iz kompanije ESET saopštili su da su uspeli da preuzmu kontrolu nad delom bot mreže sa najmanje 35000 zaraženih Windows računara koje su napadači krišom koristili za rudarenje kriptovalute Monero.

Malver “VictoryGate” aktivan je od maja 2019. godine, a infekcije su uglavnom registrovane u Latinskoj Americi, posebno u Peruu u kome je 90% inficiranih uređaja.

“Glavna aktivnost botneta je rudarenje Monero kriptovalute”, rekli su iz ESET-a. “Među žrtvama su organizacije u javnom i u privatnom sektoru, uključujući i finansijske institucije.”

ESET je rekao da su uz pomoć provajdera No-IP uspeli da obore deo servera za komandu i kontrolu (C2) malvera i da su koristili lažne domene (sinkhole) kako bi nadgledali aktivnost botneta.

Podaci pokazuju da se između 2000 i 3500 zaraženih računara svakodnevno povezivalo sa C2 serverima tokom februara i marta ove godine.

Prema istraživačima ESET-a, VictoryGate se širi preko prenosivih uređaja kao što su USB uređaji, koji, kada se povežu sa uređajem žrtve, instaliraju malver.

Od 2019., otkrivene su najmanje tri verzije inicijalnog modula malvera (detektovanog kao MSIL/VictoryGate) sa oko 10 sekundarnih payloada koji su se preuzimali posle infekcije incijalnim modulom. Ovaj modul komunicira sa C2 serverom da bi dobio sekundarni payload koji zapravo omogućava rudarenje Monera.

Na osnovu podataka koje su prikupili, istraživači ESET-a tvrde da je za rudarenje Monera dnevno u proseku korišćeno oko 2000 zaraženih uređaja i da su oni koji stoje iza ove kampanje sakupili najmanje 80 Monera.

Budući da se USB uređaji koriste kao vektor širenja, ESET je upozorio na nove infekcije koje bi se mogle desiti u budućnosti. Ali s obzirom na to da je C2 infrastruktura većim delom preuzeta, botovi više neće primati sekundarni payload. Međutim, oni koji su bili kompromitovani pre nego što su C2 serveri preuzeti, i dalje će rudariti Monero.