Исследование

Zcash – возвращение «черных копателей»

28 октября мир криптовалют стал свидетелем появления нового участника – криптовалюты Zcash (ZEC). Сами разработчики характеризуют ее очень образно – «Если Биткойн можно сравнить с http для денег, то Zcash — это https». И при этом отмечают, что «в отличие от Биткойн, транзакции в Zcash могут быть защищены, чтобы скрыть отправителя, получателя и сумму сделки».

Подобный уровень анонимности давно востребован на рынке криптовалют и ZEC вызвал значительный интерес как со стороны инвесторов и майнеров, так и со стороны киберпреступности. Поддержка валюты была оперативно добавлена рядом крупнейших криптовалютных бирж.

Старт Zcash был ошеломляющим, в первые часы ее стоимость доходила до 30 000 USD за 1 ZEC. Правда, надо отметить, что в тот момент количество существующих монет составляло всего несколько десятков, так что реальные обороты на этом уровне были крайне незначительными.

В последующие дни происходило постоянное снижение стоимости ZEC относительно биткойна и на момент написания этих строк, цена временно стабилизировалась на уровне 0.07 – 0.01 ZEC/BTC (около 70 USD). Даже несмотря на столь значительное снижение стоимости от первоначальных уровней (что было ожидаемо), майнинг Zcash остается одним из наиболее прибыльных по сравнению с другими существующими криптовалютами.

Рейтинг доходности майнинга криптовалют по данным сайта CoinWarz

Как следствие, это привело к возрождению одного из видов киберпреступной деятельности – созданию ботнетов для майнинга. Несколько лет назад подобные ботнеты создавались для майнинга биткойна, но затем прибыльность данных операций стала столь низкой, что подобный «бизнес» сошел практически на нет.

На протяжении ноября нами были отмечены несколько инцидентов, связанных с несанкционированной установкой программ для майнинга Zcash на компьютеры пользователей.
Поскольку эти программы сами по себе не являются вредоносными, то большинство антивирусных программ либо не реагируют на них, либо определяют как PUPs (potentally unwanted programs). Так, например, по нашей классификации они детектируются как «not-a-virus:RiskTool.Win64.BitCoinMiner».

Используемые злоумышленниками способы распространения программ-майнеров довольно традиционны – их устанавливают под видом других легальных программ, включая в состав различных программных пакетов, в частности, пиратского ПО, распространяемого через торренты. Нами не отмечено случаев массовых рассылок или распространения майнеров при помощи эксплойтов на веб-сайтах, но при сохранении текущей прибыльности майнинга это может быть только вопросом времени. Также возможна установка подобных программ на ранее зараженные компьютеры, состоящие в различных ботнетах, сдаваемых в аренду.

В настоящее время наиболее активно используется nheqminer от майнинг-пула Nicehash. Известны два его варианта, один из них получает выплаты в биткойнах, второй в Zcash. Оба определяются продуктами «Лаборатории Касперского» как not-a-virus:RiskTool.Win64.BitCoinMiner.bez и not-a-virus:RiskTool.Win64.BitCoinMiner.bfa соответственно.

Для того чтобы получать прибыль от работы майнера на зараженных системах, злоумышленникам достаточно запустить его с указанием собственных биткойн- или Zcash-кошельков. В результате этого распределяемая пулом прибыль от «добычи монет» будет зачисляться на их адреса, откуда уже может быть выведена для обмена на доллары или другие криптовалюты. Это же, кстати, дает и нам возможность «подсмотреть» некоторые кошельки, используемые преступниками. Вот всего один из примеров:

По адресу кошелька можно найти информацию о том откуда (от майнинга пула) и сколько денег поступило (https://explorer.zcha.in/accounts/t1eVeeBYfPPLgonvi1zk8e9SnrhZdoCBAeM)

Видно, что адрес был создан 31 октября, практически через пару дней после старта Zcash, и выплаты на него идут и в настоящее время. Вы можете спросить – а как же обещанная анонимность? На самом деле в Zcash есть два типа кошельков: полностью приватные (z-address) и такие вот публичные (t-address). В настоящее время полностью приватные кошельки еще широко не распространены (т.к. не поддерживаются биржами), в них сейчас хранится всего около 1% от всех существующих Zcash монет.

Мы обнаружили около 1000 уникальных пользователей, у которых установлен один из вариантов майнера Zcash с именем, отличным от стандартного, то есть речь, скорее всего, идет о заражении системы втайне от ее владельца. Средний компьютер может майнить около 20 хэшей в секунду, что означает около 20 000 хэшей в секунду от тысячи инфицированных машин. Это составляет по текущим ценам примерно 6200 долларов в месяц или 75 000 долларов в год чистого дохода.

Вот всего несколько реальных примеров того, под какими именами и куда устанавливаются данные программы в системах зараженных пользователей:

diskmngr.exe
mssys.exe
C:\system\taskmngr.exe
system.exe
nsdiag.exe
taskmngr.exe
svchost.exe
C:\Users\[username]\AppData\Roaming\MetaData\mdls\windlw\mDir_r\rhost.exe
qzwzfx.exe
C:\Users\[username]\AppData\Local\Temp\afolder\mscor.exe
C:\Program Files\Common Files\nheqminer64.exe
C:\Windows\Logs\Logsfiles64\conhost.exe
apupd.exe

Как видите, имена многих майнеров совпадают с именами вполне легитимных приложений, отличается только их местоположение в системе. Например, легитимный taskmgr.exe (Менеджер задач Windows) должен находиться в системной папке C:\Windows\System32, а не в постороннем каталоге C:\system.

Для обеспечения запуска программы при каждом старте системы используются либо задачи Task Scheduler, либо ключи автозапуска в реестре. Несколько примеров подобного использования:

Task Scheduler\Microsoft\Windows Defender\Mine
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Miner

Несколько выявленных веб-сайтов, с которых происходит распространение программ:

http://execsuccessnow[.]com/wp-includes/m/nheqminer.exe
https://a.pomf[.]cat/qzwzfx.exe

Для работы майнера необходимы дополнительные библиотеки, которые устанавливаются вместе с ним:

cpu_tromp_AVX.dll
cpu_tromp_SSE2.dll
cudart64_80.dll
cuda_tromp.dll
logsetuplib.dll
msvcp120.dll
msvcr120.dll

Какую опасность сложившаяся ситуация представляет для пользователя, не подозревающего об участии своего компьютера в майнинге?

Во-первых, данные операции довольно энергозатратны. Резко возрастает количество потребляемой электроэнергии, что в некоторых странах означает заметное увеличение счета за электричество.

Во-вторых, в ходе работы майнера под его задачи выделяется практически около 90% от оперативной памяти системы, что ведет к значительному замедлению работы как ОС, так и отдельных приложений. Согласитесь, что хорошего тут мало. Точнее, совсем нет.

Для защиты от установки программ-майнеров, пользователям защитных решений «Лаборатории Касперского» следует проверить наличие включенной проверки нежелательных программ.

Всем остальным рекомендуем, как минимум, проверить указанные выше папки и ключи реестра на предмет подозрительных файлов и записей.

Zcash – возвращение «черных копателей»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике