Darktrace yangi cryptojacking kampaniyasini aniqladi, bu Windows Defender’dan chetlab o‘tishga qodir. Cryptojacking kampaniyalari ijtimoiy muhandislik orqali amalga oshirilmoqda.

Kiberxavfsizlik firmasi Darktrace yangi kriptojacking kampaniyasini aniqladi, u Windows Defender’ni chetlab o‘tib, kriptovalyuta qazib olish dasturini joylashtirishga mo‘ljallangan.

Kriptojacking kampaniyasi birinchi marta iyul oyi oxirida aniqlangan bo‘lib, ko‘p bosqichli infektsiya zanjirini o‘z ichiga oladi. Bu jarayon kompyuterning ishlov berish quvvatini yashirincha egallab, kriptovalyuta qazib olish uchun ishlatadi, deb tushuntirishdi Darktrace tadqiqotchilari Keanna Grelicha va Tara Gould crypto.news bilan bo‘lishgan hisobotda.

Tadqiqotchilarning aytishicha, kampaniya aynan Windows asosidagi tizimlarni nishonga oladi va PowerShell’dan, ya’ni Microsoft’ning o‘rnatilgan buyruq satri va skript tili orqali, zararli shaxslar zararli skriptlarni ishga tushirib, tizimga imtiyozli kirish huquqini qo‘lga kiritishadi.

Bu zararli skriptlar to‘g‘ridan-to‘g‘ri tizim xotirasida (RAM) ishlashga mo‘ljallangan va natijada, odatda tizimning qattiq diskidagi fayllarni skanerlashga tayanuvchi an’anaviy antivirus vositalari zararli jarayonni aniqlay olmaydi.

Keyinchalik, hujumchilar IT mutaxassislari tomonidan odatda vazifalarni avtomatlashtirish uchun ishlatiladigan Windows vositasi bo‘lgan AutoIt dasturlash tilidan foydalanib, zararli yuklovchini haqiqiy Windows jarayoniga joylashtiradi. Bu esa, tizimda aniq iz qoldirmasdan, kriptovalyuta qazib olish dasturini yuklab olib, ishga tushiradi.

Qo‘shimcha himoya sifatida, yuklovchi bir qator muhit tekshiruvlarini amalga oshirishga dasturlashtirilgan, masalan, sandbox muhitining belgilarini aniqlash va mezbon tizimda o‘rnatilgan antivirus mahsulotlarini tekshirish.

Ishga tushirish faqat Windows Defender yagona faol himoya bo‘lsa davom etadi. Bundan tashqari, agar zararlangan foydalanuvchi hisobida administrator huquqlari bo‘lmasa, dastur yuqori darajadagi kirishni qo‘lga kiritish uchun User Account Control cheklovini chetlab o‘tishga harakat qiladi.

Ushbu shartlar bajarilganda, dastur NBMiner’ni yuklab olib, ishga tushiradi. Bu mashhur kriptovalyuta qazib olish vositasi bo‘lib, kompyuterning grafik protsessoridan Ravencoin (RVN) va Monero (XMR) kabi kriptovalyutalarni qazib olish uchun foydalanadi.

Bu holatda, Darktrace o‘zining Autonomous Response tizimi yordamida hujumni to‘xtata oldi, ya’ni “qurilmaning tashqi ulanishlarni amalga oshirishini oldini olib, shubhali manzillarga maxsus ulanishlarni blokladi.”

“Kriptovalyutalarning mashhurligi ortib borayotganligi, global kriptovalyuta bozorining yuqori qiymati (yozish vaqtida deyarli 4 trillion AQSh dollari) bilan ko‘rinib turibdi, tahdidli shaxslar kriptovalyuta qazib olishni daromadli faoliyat deb hisoblashda davom etadi,” — deb yozishdi Darktrace tadqiqotchilari.

Ijtimoiy muhandislik orqali kriptojacking kampaniyalari

Iyul oyida Darktrace boshqa bir kampaniyani aniqladi, unda zararli shaxslar murakkab ijtimoiy muhandislik usullaridan, masalan, haqiqiy kompaniyalar nomidan chiqish orqali, foydalanuvchilarni o‘zgartirilgan dasturiy ta’minotni yuklab olishga va kriptovalyutani o‘g‘irlovchi zararli dasturiy ta’minotni ishga tushirishga chalg‘itishgan.

Yuqorida aytib o‘tilgan kriptojacking sxemasidan farqli o‘laroq, bu usul ham Windows, ham macOS tizimlarini nishonga olgan va foydalanuvchilar o‘zlari kompaniya xodimlari bilan muloqot qilayotganiga ishongan holda, bexabar holda amalga oshirilgan.