ad blocker cu miner inclus

Info Utile – Ad blocker cu miner inclus

Cu ceva timp în urmă, am descoperit o serie de aplicații false care livrau un miner Monero criptomonede către computerele utilizatorilor. Acestea sunt distribuite prin intermediul site-urilor web rău intenționate care pot apărea în rezultatele căutării victimei. După cum arată, pare a fi o continuare a campaniei de vară acoperită de colegii noștri de la Avast. Pe atunci, infractorii cibernetici distribuiau malware sub masca programului de instalare antivirus Malwarebytes.

În ultima campanie, am văzut mai multe aplicații imitate de malware: blocanții publicitari AdShield și Netshield, precum și serviciul OpenDNS. Acest articol analizează doar aplicația AdShield falsă, dar toate celelalte cazuri urmează același scenariu.

Detalii tehnice

Distribuit sub numele adshield[.]pro, malware-ul imită versiunea Windows a blocatorului de anunțuri mobile AdShield. După ce utilizatorul pornește programul, acesta modifică setările DNS de pe dispozitiv, astfel încât toate domeniile să fie rezolvate prin serverele atacatorilor, care, la rândul lor, împiedică utilizatorii să acceseze anumite site-uri antivirus, cum ar fi Malwarebytes.com.

După înlocuirea serverelor DNS, malware-ul începe să se actualizeze singur executând update.exe cu argumentul self-upgrade („C: Program Files (x86) AdShield updater.exe” -self-upgrade). Updater.exe contactează C&C și trimite date despre aparatul infectat și informații despre începutul instalării. Unele dintre liniile din fișierul executabil, inclusiv linia cu adresa serverului C&C, sunt criptate pentru a face detecția statică mai dificilă.

ad blocker cu miner inclus 2

Fragment de cod Updater.exe care conține adresa criptată

Updater.exe descarcă de pe site-ul transmissionbt [.] Org și rulează o versiune modificată a clientului torrent Transmission (distribuția originală poate fi…

Continuarea aici: Ad blocker cu miner inclus