Studiu Kaspersky
La sfârșitul lunii ianuarie, experții Kaspersky au observat o creștere importantă în detectarea de aplicații false care livrează un malware Monero pe computerele utilizatorilor. Aplicațiile sunt distribuite prin intermediul site-urilor web rău intenționate care pot apărea în rezultatele căutărilor victimei. Aceasta pare a fi o continuare a unei campanii din vara anului 2020, raportată de membrii comunității de securitate. Pe atunci, infractorii cibernetici distribuiau fișiere infectate legate de criptominare sub forma unui program de instalare de antivirus.
Al doilea val de atacuri XMRig, în 2021, imită alte câteva aplicații, cum ar fi sistemele de blocare a anunțurilor publicitare AdShield și Netshield, precum și serviciul OpenDNS. Distribuit sub nume legitime, malware-ul imită versiunile Windows ale aplicațiilor mobile. După ce utilizatorul pornește programul, acesta modifică setările DNS de pe dispozitiv, astfel încât toate domeniile să fie treacă prin serverele atacatorilor, ceea ce, ulterior, împiedică utilizatorii să acceseze anumite site-uri antivirus, cum ar fi Malwarebytes.com. Iar la final, livrează malware-ul open-source de minare XMRig.
Conform datelor furnizate de Kaspersky Security Network, la începutul lunii februarie 2021 au existat încercări de a instala aplicații false pe dispozitivele a 21.141 de utilizatori.
Numărul de utilizatori atacați, august 2020 – februarie 2021
La apogeul campaniei, au fost atacați peste 2.500 de utilizatori pe zi, majoritatea victimelor fiind în Rusia și țările CIS.
Soluțiile de securitate ale Kaspersky detectează amenințările descrise cu următoarele coduri:
- Trojan.Win64.Patched.netyyk
- Trojan.Win32.DNSChanger.aaox
- Trojan.Win64.Miner.gen
- HEUR:Trojan.Multi.Miner.gen
Pentru mai multe informații despre campania descoperită, precum și recomandări detaliate despre cum să ștergeți malware-ul în caz de infecție, citiți articolul de pe Securelist.com.