A Kaspersky Lab kutatói szerint a kiberbűnözők a célzott támadások során használt módszereket és technikákat vettek át, hogy bányászó programokkal fertőzzék a szervezetek asztali számítógépeit.

A Kaspersky Lab által megfigyelt legsikeresebb bűnöző csoport mindössze hat hónap alatt közel 2 milliárd forintnak megfelelő dollárt keresett tavaly ezzel a módszerrel.

Habár a kriptovaluták piaca alapvetően változékony, de a tavaly tapasztalt hatalmas áringadozás a Bitcoin kapcsán nemcsak a globális gazdaságot, de még a kiberbiztonsági világot is megváltoztatta. A kiberbűnözők egyre gyakrabban használnak bányászó szoftvereket támadásaik során azzal a céllal, hogy kriptovalutához jussanak, amely hasonlóan a zsarolóvírusokhoz egy egyszerű bevételszerzési modell. Ugyanakkor a zsarolóvírusokkal ellentétben ez a módszer nem ártalmas az áldozatokra és tovább is marad észrevétlen, miközben a számítógép erőforrásait használja ki. Tavaly szeptemberben a Kaspersky Lab a bányászó programok elterjedését figyelte megés további fejlődéseket jósolt világszerte. A legújabb kutatások szerint ez a fejlődés nemcsak folytatódott, hanem kiterjedt és megerősödött.

Nemrég a Kaspersky Lab kutatói azonosítottak egy olyan kiberbűnözői csoportot, akik APT-technikákat használnak azért. hogy bányászó programokkal fertőzzék áldozataikat. A process-hollowing módszert alkalmazták, amelyet malware és célzott támadások során használtak mindeddig, de bányászó támadások folyamán még soha. A process hollowing módszer lényege, hogy a hekker egy a memóriában futó biztonságos folyamat képét írja felül a kártékony kóddal. Így az eredeti, biztonságosnak hitt folyamat helyett a veszélyes kód futhat a rendszeren anélkül, hogy a hagyományos folyamatfigyelő eszközök és vírusirtók észlelnék a megtévesztést.

A támadás a következőképp működik: az áldozatot ráveszik, hogy letöltsön és telepítsen egy reklám szoftvert, amelyben elrejtették a bányászó programot. A telepítő letölt egy legális Windows-os segédprogramot, amelynek fő célja, hogy egy távoli szerverről elérje a bányászó programot, amely önmagát telepíti. Kicsomagolás után egy legális rendszerfolyamat indul el és a legitim működési kód átváltozik kártékonnyá. Ennek eredményeként a bányászó szoftver a jogszerű folyamatok egyikeként dolgozik és így a felhasználó nem is észleli annak romboló működését. A kiberbiztonsági szakembereknek is kihívás a kibercsapda észlelése. Továbbá ez a bányászó program egy új eljárás révén megakadályozza bármely feladatának törlését. Ha a felhasználó megpróbál leállítani egy folyamatot, a számítógép rendszere újraindítja magát. Következésképp a bűnözőknek lehetőségük van hosszabb és produktívabb időt eltölteni a megtámadott rendszeren.

A Kaspersky Lab megfigyelései alapján kiderült, hogy a tavalyi év második felében ezzel a módszerrel közel 2 milliárd forint értékű Electroneum valutát bányásztak, amely nagyjából hasonló összeg, mint amit a zsarolóvírus fejlesztők keresni szoktak.

"Azt látjuk, hogy a zsarolóvírusok elhalványultak, helyette a bányászó programok vannak most előtérben. Ezt megerősítik a statisztikáink, amely folyamatos növekedést mutatott a bányászó programok használatában, miként azt is, hogy a kiberbűnözői csoportok aktívan fejlesztik módszereiket, például láthatjuk, hogy egyre kifinomultabb technológiákat használnak a bányászó szoftverek terjesztésére. Már láttunk ehhez hasonló rohamos fejlődést - a zsarolóvírus fejlesztők hasonló trükköket alkalmaztak, amikor elterjedtek." - magyarázta Anton Ivanov, a Kaspersky Lab vezető malware elemzője.

Összeségében a Kaspersky Lab adatai alapján tavaly 2,7 millió felhasználót támadtak meg bányászó programmal. Ez körülbelül 50%-os emelkedés a 2016-os évhez képest, amikor 1,87 millió felhasználót érintett ilyen támadás. Az áldozatok zömét reklámokkal, feltört játékokkal, és kalóz-szoftverek segítségével fertőzték meg titokban. Más áldozatokat egy fertőzött weboldalon található speciális kódon keresztül fertőztek. A leggyakrabban használt internetes bányász a CoinHive, amelynek működését számos népszerű honlapon észlelték.