Ссылка скрыта от гостей
анализ нового трояна-майнера, который активно распространяется через Telegram и некоторые сайты вместе с пиратским программным обеспечением. За полтора месяца авторам одной из таких кампаний удалось заразить более 40 тысяч компьютеров с операционной системой Windows. Вредоносное ПО может распространяться вместе с кейгенами или репаками различных программ, таких как Яндекс браузер, антивирус Sophos и инструменты Adobe. Защитные решения ИБ-компании классифицируют новое злоумышленное ПО как Trojan.BtcMine.3767 (загрузчик) и Trojan.BtcMine.2742 (криптомайнер).
Первый представляет собой зловред для Windows, написанный на языке программирования С++. После запуска вредоносного загрузчика, он копирует себя под именем updater.exe в папку %ProgramFiles%\google\chrome\ и создает запланированное задание для автозагрузки. Загрузчик также добавляет себя в список исключений Microsoft Defender и предпринимает меры для непрерывной работы компьютера. После инициализации, майнер Trojan.BtcMine.2742 внедряется в процесс explorer.exe. С помощью загрузчика, авторы атаки также могут устанавливать руткит (бесфайловый r77), блокировать обновления Windows, ограничивать доступ к выбранным сайтам, приостанавливать процесс добычи криптовалюты, а также удалять или восстанавливать троянские файлы в системе.
