A Kaspersky Lab Anti-Malware Research csapata két új botnetet detektált, melyek olyan kártékony programokkal fertőzik meg a számítógépeket, amelyek képesek észrevétlenül települni a célból, hogy digitális pénzt „bányásszanak” a bűnözőknek. Az aktorok főként legális szoftvereket használnak a blockhain alapú virtuális pénznemek létrehozásához: egy esetben a kutatók becslése alapján egy négyezer számítógépből álló hálózat akár 7,65 millió forintot is kereshetett egy hónap alatt, míg egy másik esetben az ötezer gépes hálózat a kutatók szerint több mint 51 millió forintot halmozott fel a bűnözőknek.
A szakemberek leírják, hogy a bitcoin és más digitális valuták esetén nemcsak vásárolni tudunk pénzt, hanem létrehozhatunk akár új pénzegységet a számítógépek számítási teljesítményét kihasználó szoftverek segítségével. Ezt a folyamatot hívják „bányászásnak”. Ugyanakkor a kriptovaluták létrehozásának lényeges eleme, hogy minél többet bányásztunk, annál nehezebb lesz (több idő, több számítás, jobb gépek) új „érmék” előállítása. Néhány éve még viszonylag gyakran telepítettek a bűnözők olyan szoftvereket áldozataik gépére, amelyek némán bányászták a bitcoint, de minél többet bányásztak, annál nehezebben lehetett újakat, ezért egy bizonyos ponton túl már szinte egyáltalán nem volt jövedelmező – mivel több beruházásra volt szükség, mint amennyit keresni lehetett.
Ennek hátterében az áll, hogy a bitcoin ára a kezdeti néhány évben robbanásszerűen nőtt, és igazi „bányászlázt” indított el világszerte. Több száz lelkes csoport, startup cég kezdett az érmék vadászatába, amelyek közül néhányan valóban jelentős piaci részesedést tudtak szerezni egy relatíve rövid idő alatt. Ezek a változások a digitális valuta piacán elkerülhetetlenül felkeltették a kiberbűnözők érdeklődését, akik a pénzügyi visszaélések egy új alternatívájaként tekintettek a „bányászatra”.
A Kaspersky Lab legújabb kutatásainak eredményei alapján a frissen felfedezett botnetek mögött álló bűnözők adware programok segítségével terjesztik azokat a bányászszoftvereket, amelyeket végül az áldozatok önként telepítenek a megfertőzött számítógépekre. Miután az adware program települ az áldozatok számítógépén, letölt egy rosszindulatú komponenst: a bányászprogram telepítő fájlját, majd ez a kiegészítő telepíti az adatbányász szoftvert valamint olyan parancssorokat hajt végre a gépen, amelyek biztosítják a bányász munkát, ameddig csak lehetséges.
Ezek a parancsok a következők:
- kísérletet tesz arra, hogy letiltsa a biztonsági szoftvereket
- követi a számítógép alkalmazásait, és felfüggeszti a saját tevékenységét, ha olyan program működését észleli, amely figyeli és/vagy listázza a rendszer tevékenységét
- a merevlemezen egy szoftvermásolattal biztosítja, hogy akár törlés esetén is újratelepíthesse magát a program
Amint az első érmét kibányászta, továbbítja azt a bűnözők felé, így az áldozat csak egy folyamatosan gyengülő számítógépet és valamivel magasabb villanyszámlát érzékel, mint amit megszokott. A Kaspersky Lab megfigyelései alapján jelenleg két valutát bányásznak a bűnözők: a Zcash-t és a Monerót. Ezeket a valutákat valószínűleg azért választották, mert biztosítják a tranzakciók és számlatulajdonosok anonimitását.
„A legfőbb problémát a rosszindulatú bányászprogramoknál az jelenti, hogy nagyon nehéz megbízhatóan kimutatni az ilyen tevékenységet, mert ezek a programok olyan legális szoftverek segítségével végzik kártékony tevékenységüket, amelyek normális helyzetben megtalálhatóak egy átlagos felhasználó számítógépén. További aggasztó tény az általunk azonosított és időközben megfigyelt két új botnet kapcsán az, hogy a rosszindulatú bányászprogramok egyre értékesebbek a feketepiacon. A bűnözők árulják úgynevezett bányászszoftvereiket és így bárki, aki hajlandó kifizetni a teljes verzióért a pénzt, képes létrehozni saját botnethálózatát. Ez azt jelenti, hogy a botnetek, amelyeket nemrégiben azonosítottunk, bizonyosan nem az utolsók” – mondta el Jevgenyij Lopatyin, a Kaspersky Lab malware-elemzője.
