Поддельный портал MSI Afterburner нацеливается на геймеров Windows для майнинга криптовалюты

Поддельный портал загрузки MSI Afterburner, нацеленный на пользователей Windows и геймеров Windows, заражает их криптовалютными майнерами и вредоносным ПО RedLine, согласно новому отчету исследователей из Cyble.

Для начала, MSI Afterburner — это функция GPU, которая позволяет пользователям настраивать разгон, записывать видео, создавать профили вентиляторов и контролировать использование установленной видеокарты и процессора.

Эта функция может использоваться пользователями с практически любой графикой, что делает ее доступной для миллионов пользователей по всему миру, которые затем изменяют ее настройки в соответствии со своими требованиями, т.е. для достижения более низкой температуры, улучшения производительности игр и многого другого.

Все эти факторы делают этот инструмент хорошей целью для злоумышленников, которые стремятся нацелиться на пользователей Windows или геймеров, использующих мощные графические процессоры, которые они могут захватить для майнинга криптовалюты.

Согласно Cyble, за последние три месяца в интернете появилось более 50 веб-сайтов, которые имитируют официальный сайт MSI Afterburn и распространяют майнеры XMR наряду с вредоносным ПО для кражи информации.

Читать: Группа программ-вымогателей AXLocker крадет учетные записи Discord зараженных пользователей

Кроме того, кампания использовала идентичные доменные имена, чтобы обмануть пользователей, заставив их поверить, что они находятся на законном сайте MSI Afterburn, что легче продвигать с помощью черного SEO. Вот некоторые из доменов, идентифицированных Cyble.

• msi-afterburner–download.site
• msi-afterburner-download.site
• msi-afterburner-download.tech.
• msi-afterburner-download.online
• msi-afterburner-download.store
• msi-afterburner-download.ru
• msi-afterburner.download
• mslafterburners.com
• msi-afterburnerr.com

Более того, в других случаях домены не использовали бренд MSI и, возможно, продвигались через сообщения, публикации в социальных сетях и форумы.

• git.git.skblxin.matrizauto.net
• git.git.git.skblxin.matrizauto.net
• git.git.git.git.skblxin.matrizauto.net
• git.git.git.git.git.skblxin.matrizauto.net

Когда исполняется поддельный файл установки MSI Afterburner (MSIAfterburnerSetup.msi), устанавливается действительный файл. Однако установщик тихо загружает и запускает вредоносное ПО RedLine для кражи информации и также майнер XMR на зараженном устройстве.

Майнер XMR затем устанавливается через 64-битный исполняемый файл Python под названием “browser_assistant.exe” в каталоге Local Programme Files, который вставляет оболочку в процесс, созданный установщиком.

Код оболочки загружает майнер XMR из архива GitHub и затем напрямую внедряет его в память процесса explorer.exe, и поскольку майнеры XMR никогда не взаимодействуют с диском, шансы его обнаружения продуктами безопасности довольно малы. После этого майнер XMR связывается с пулом майнинга, используя жестко закодированное имя пользователя и пароль, а затем передает основную информацию о системе злоумышленнику.

Читать: Фишинговый комплект электронной почты, нацеленный на североамериканцев в праздничный сезон!

Одна из функций, которую использует майнер, — это “максимальная нагрузка на процессор“, установленная на 20, что превышает большинство потоков процессора, поэтому она настроена на потребление всей доступной мощности. Майнер XMR начинает майнить только через час, и поскольку процессор переходит в режим простоя, это указывает на то, что скомпрометированный ПК не используется для каких-либо ресурсоемких задач и, возможно, оставлен без присмотра.

Кроме того, он использует функцию cinit-stealth-targets, которая по сути является опцией приостановки майнинга и очистки памяти GPU, когда запускается определенная программа, указанная в “скрытых целях”. Это могут быть программы, которые помогают жертве идентифицировать вредоносные процессы, т.е. антивирус, просмотрщик аппаратных ресурсов и многое другое.

В этом сценарии майнер, который пытается скрыться от приложений Windows, — это taskmanager.exe, procexp.exe, Processhacker.exe, perforn.exe, и procexp64.exe. В то же время майнер XMR тихо захватывает ваши ресурсы (Monero); RedLine уже работал в фоновом режиме, крадя данные браузера, куки, пароли и любые возможные криптовалютные кошельки.

К сожалению, почти все компоненты кампании Fake MSI Afterburn имеют плохую детекцию антивирусным программным обеспечением, так что отчет VirusTotal упоминает, что файл установки MSIAfterburnerSetup.msi обнаруживается только 3 антивирусными программами из 56, а browser_assistant.exe обнаруживается только 2 из 67.

Читать: Вредоносное ПО Mirai RapperBot атакует онлайн-игровые серверы с помощью DDoS