Относительно новую форму скрытого вируса-майнера обнаружили исследователи из израильской компании Check Point Software Technologies. Сотрудники компании заявили, что, согласно их наблюдениям, программа KingMiner, предназначенная для скрытого майнинга криптовалюты Monero, может «развиваться».
Зловред был впервые замечен в сети около полугода назад, и если тогда основной его задачей была скрытая добыча криптовалюты, то сейчас вирус-майнер «оброс дополнительными функциями», такими как поиск на компьютере жертвы более старых версий себя и замена их на текущие версии.
«Данное вирусное ПО использует различные техники для ухода от обнаружения, в результате чего несколько движков, предназначенных для выявления подобных вредоносных программ, срабатывали значительно реже», – пишут исследователи.
Основными целями KingMiner являются сервера Microsoft, преимущественно IIS\SQL, где вирус-майнер захватывает и перенаправляет на свои нужды 100% мощности, хотя его собственная конфигурация предусматривает захват не больше 75%.
Помимо всего прочего, KingMiner использует приватный майнинговый пул, кошельки которого не фигурируют ни в одном публичном пуле. Такой подход позволяет обеспечить вирусу-майнеру дополнительную скрытность.
«Мы видим, что масштаб атаки огромен, от Мексики до Индии, от Норвегии до Израиля, но не можем определить даже домены, которые использует пул, так как они тоже приватны», – сообщают исследователи.
Недавно «Лаборатория Касперского» отметила, что рост популярности криптовалютных программ-вымогателей в этом году значительно снизился, так как они быстрыми темпами замещаются скрытыми вирусами-майнерами.