Поддельный софт MSI подсаживает геймерам невидимый майнер Monero, а заодно ПО для кражи паролей

- КиТ :: Будь в СЕТИ!

Злоумышленники пытаются подсовывать геймерам вариант популярной разгонной утилиты MSI Afterburner, который устанавливает заодно троянцы и майнеры.

ПО с довесками

Злоумышленники распространяют среди геймеров разгонную утилиту для видеокарт, которая на практике оказывается дополнена криминальными криптомайнерами и вредоносом RedLine, предназначенным для кражи информации.

Утилита MSI Afterburner позволяет производить разгон видеокарт, регулировать работу системы охлаждения, производить захват видео, а также мониторить температуру установленной графической карты и нагрузку на центральный процессор.

Хотя утилиту выпустила компания MSI, программу можно задействовать практически с любыми видеокартами. Поэтому Afterburner используют миллионы геймеров по всему миру.

Эта популярность и привлекла внимание киберзоумышленников. Сам факт использования MSI Afterburner указывает на присутствие относительно мощной видеокарты, а именно GPU используются для майнинга криптовалют.

Как выяснили эксперты компании Cyble, за последние три месяца в Сети появились более 50 поддельных сайтов, выдающих себя за официальные ресурсы для скачивания MSI Afterburner. При загрузке дистрибутива пользователю действительно устанавливается утилита, но кроме нее еще и майнеры криптовалюты Monero (наиболее популярной в криминальном мире) и иногда RedLine. Адреса сайтов, с которых предлагается скачать скомпрометированные дистрибутивы, обычно содержат слова msi, afterburner и download (msi-afterburner--download.site, msi-afterburner-download.site, msi-afterburner-download.tech, msi-afterburner-download.online), иногда написанные с ошибками (mslafterburners.com).

Идея состоит в том, чтобы вызвать у доверчивых пользователей впечатление, будто это легитимные ресурсы. Сайты раскручиваются с помощью различных малосолидных SEO-практик.

Отмечены также несколько доменных имен, которые никак не напоминают официальные ресурсы (git[.]git[.]skblxin[.]matrizauto[.]net и т. п.). Скорее всего, их используют для продвижения дистрибутивов через прямые ссылки, на форумах, в соцсетях и т. д.

И снова Monero

Как уже сказано, MSI Afterburner действительно устанавливается в систему. Но кроме этой утилиты в неё попадает троянец RedLine и майнер. Последний распространяется в виде 64-битного файла browser_assitant.exe, который встраивает в процесс инсталятора шелл-код; тот скачивает из репозитория GitHub код майнера и встраивает его в системный процесс explorer.exe. Поскольку непосредственно сам майнер не попадает на жесткий диск, его обнаружение сильно затруднено.

Зато после начала работы этот майнер забирает всю мощность центрального процессора, хотя и только во время простоя: запуск процедуры начинается через 60 минут после того, как CPU уходит в режим минимальной нагрузки.

Кроме того, майнер прекращает работу, если обнаруживает запуск ряда приложений, таких как Taskmgr.exe, ProcessHacker.exe, perfmon.exe, procexp.exe и procexp64.exe. Все это инструменты, которые позволяют выявить подозрительный процесс.

Ну, а пока работает майнер, троянец RedLine тихо выводит на сторонние ресурсы пароли, файлы cookie, информацию из браузера и, вероятно, содержимое криптокошельков.

Как отмечают исследователи, скомпрометированный инсталятор MSIAfterburnerSetup.msi, содержащий вредоносные компоненты, обнаруживается на VirusTotal всего лишь тремя браузерами из 56, а browser_assistant.exe - только двумя из 67.

«Расчет, очевидно, идет на то, что геймеры не будут смотреть, откуда что скачивают, что на самом деле выглядит довольно наивным предположением, - считает Никита Павлов, эксперт по информационной безопасности компании SEQ. - Между тем, геймеры обычно достаточно грамотные и осторожные в техническом плане люди, даже те, кто пользуется пиратскими версиями. Вероятно, в связи с низким количеством успешных заражений может быть связано и то, что лишь очень малое количество антивирусов выявляют вредоносное содержание этих файлов.»

Остается добавить, что единственным легитимным и безопасным источником утилиты MSI Afterburner является официальный сайт MSI.

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg