Бесплатно Экспресс-аудит сайта:

17.01.2020

Ошибка BSOD выдала скрытый в файлах WAV криптомайнер

Компьютерная сеть одной из медицинских компаний оказалась заражена вредоносным ПО для добычи криптовалюты Monero. Обнаружить атаку удалось после анализа компьютеров, на которых возникла ошибка синего экрана смерти (Blue Screen of Death, BSoD).

Вредоносная программа скрывалась в аудиофайлах WAV и распространялась на уязвимые системы под управлением Windows 7 в сети через EternalBlue — эксплоит для уязвимости в Windows-реализации протокола SMBv1, который использовался в кибератаках WannaCry и NotPetya в 2017 году.

Исследователи безопасности из компании Guardicore обнаружили , что с 14 октября 2019 года было взломано более 800 компьютеров вышеуказанной компании. Как отметили специалисты, зараженные машины обращались к данным в разделе реестра (HKLMSoftwareMicrosoftWindowsCurrentVersionShell) и выполняли довольно длинную команду, которая на самом деле оказалась PowerShell-скриптом, закодированным в base-64.

Процесс загрузки вредоносных программ состоял из развертывания двух процессов с именами cscdll.dll и cscomp.dll, ответственных за «компиляцию C# и выполнение, когда код C# загружался и выполнялся из памяти».

Загружаемый код оказался майнером криптовалюты Monero, использовавшим алгоритм CryptonightR для добычи цифровых средств. Для того, чтобы избежать обнаружения, преступники воспользовались техникой стенографии и встроили вредонос в аудиофайлы WAV‌. Другой скрытый подобным образом модуль был предназначен для сканирования сети и перемещения в ней.