В последние годы криптовалюты стали не только объектом инвестиций, но и причиной появления совершенно новых угроз информационной безопасности. Одной из таких угроз является криптоджекинг — скрытый майнинг криптовалюты без ведома владельца устройства. Одним из самых изощрённых вредоносных программ в этой сфере считается KingMiner, который специализируется на добыче криптовалюты Monero, оставаясь при этом практически незаметным для систем защиты. KingMiner активно совершенствуется и использует различные техники для обхода антивирусных программ и систем обнаружения. Исследователи из израильской компании Check Point Software Technologies отмечают, что создатели этой угрозы систематически обновляют её, чтобы затруднить идентификацию и анализ вредоносного кода.
В результате, количество успешных атак с каждым годом растёт, а методы противодействия этой угрозе нуждаются в постоянном переосмыслении и развитии. Главной целью KingMiner являются серверы, работающие под управлением операционных систем Windows и использующие Microsoft Internet Information Services (IIS) и SQL Server. Вредоносное ПО применяет грубую силу для подбора паролей, вскрывая их и получая доступ к серверу. Такой метод атаки позволяет проникать в системы, которые недостаточно защищены или используют слабые пароли. После проникновения на устройство, KingMiner загружает на него скриптовый файл с расширением .
sct, который запускается для запуска вредоносных процессов. В ходе эксплуатации вредоносного ПО определяет архитектуру процессора заражённого устройства и удаляет старые версии вредоносных файлов, чтобы не оставлять следов прошлых заражений. Далее запускается процедура загрузки файла с расширением .zip, который на самом деле является переименованным XML-документом. Этот трюк позволяет избежать обнаружения или эмуляции поведения вредоноса антивирусным программным обеспечением.
Настоящий майнинг происходит после распаковки и создания специальных ключей в реестре Windows, после чего запускается майнер XMRig. Этот майнер оптимизирован для использования примерно 75% мощности процессора, однако ошибки в его коде могут привести к более высокой нагрузке, что при определённых обстоятельствах может давать заметные пользователю признаки присутствия постороннего ПО. Конечно, самым опасным аспектом KingMiner является именно его способность уходить от обнаружения. Использование обфускации кода, выполнение вредоносных файлов в памяти без явных следов на диске, а также применение приватных пулов майнинга создают значительные сложности для специалистов по кибербезопасности. Создатели KingMiner намеренно отключают API пула и избегают использования публичных адресов криптокошельков, что затрудняет отслеживание их деятельности и поиск ответственных лиц.
Рост числа атак с использованием KingMiner совпадает с общим увеличением криптоджекинга во всём мире. По данным компаний-разработчиков антивирусов и кибербезопасности, количество попыток скрытого майнинга существенно возросло, причём расширение целевой аудитории включает не только персональные компьютеры, но и мобильные устройства с подключением к интернету. Снижение цены криптовалюты на рынке не уменьшает интерес злоумышленников, а побуждает их находить новые способы получения прибыли. Судя по всему, KingMiner — это яркий пример вредоносного программного обеспечения, которое эффективно адаптируется к условиям повышенного контроля и новых технологий безопасности. Для защиты от таких угроз пользователям и администраторам серверов необходимо не только своевременно обновлять программное обеспечение и использовать надёжные пароли, но и включать комплексные системы мониторинга сетевого трафика и поведения процессов.
