Фейковый блокировщик рекламы для Windows меняет DNS и майнит Monero

Эксперты «Лаборатории Касперского» проанализировали актуальную вредоносную программу, нацеленную на угон чужих мощностей для добычи криптовалюты. Данный Windows-зловред распространяется под видом легитимных приложений и атакует в основном пользователей из стран бывшего СНГ.

В ходе текущей кампании было идентифицировано несколько программ, имена которых злоумышленники заимствуют для маскировки, — это блокировщики рекламы AdShield и Netshield, а также сервис OpenDNS. Вредоносные фальшивки раздаются со специально созданных сайтов, на которые можно попасть по ссылке из поисковой выдачи. Исследователи полагают, что нынешние атаки являются продолжением летней кампании, которую выявила Avast.

Поведение вредоноса во всех случаях одинаково. При запуске он изменяет настройки DNS, перенаправляя запросы на NS-сервер своих хозяев — это позволяет отслеживать и блокировать обращения к сайтам ИБ-компаний. После этого он подключается к C2-серверу, отсылает данные зараженной системы и проверяет наличие обновлений, запуская updater.exe.

Обновившись, зловред загружает с поддельного сайта и запускает модифицированный торрент-клиент Transmission. Тот, в свою очередь, сигнализирует операторам об успешной установке и скачивает модуль для майнинга — набор файлов, уникальный для каждой зараженной машины.

Расшифровка полезной нагрузки приводит к запуску криптомайнера XMRig под видом легитимной утилиты find.exe. Чтобы обеспечить постоянную работу этого «сервиса», в планировщике Windows создается специальная задача.

С начала февраля защитные решения Kaspersky зарегистрировали более 7 тыс. уникальных попыток установки поддельных приложений в рамках текущей кампании. В пиковые дни злоумышленники проводили свыше 2,5 тыс. таких атак — в основном на территории России и других стран – участниц бывшего СНГ.