уторак, 16. октобар 2018.

Lažna Flash ažuriranja sa alatom za rudarenje




Sigurnosni istraživači iz kompanije Palo Alto Networks upozoravaju na evoluciju alata za rudarenje kriptovaluta i lažnih Flash ažuriranja. Nova kampanja je spojila ove dvije vrste napada u jedan, tako da su sigurnosni istraživači do sada pronašli 113 uzoraka malvera, i 473 različitih naziva fajlova korišćenih za lažna ažuriranja za Flash, koja isporučuju alat za rudarenje XMRig.



Zanimljiva činjenica je da napadači u ovoj kampanji stvarno isporučuju posljednje ažuriranje za Adobe Flash, međutim to se obavlja sa veb servera koji ne pripadaju kompaniji Adobe. Preuzimanjem Adobe Flash instalacije, u pozadini se odvija instalacija alta za rudarenje XMRig. Kada korisnik posumnja da nešto nije uredu i provjeri verziju Adobe Flash Player-a sve je uredu, jer je instalirana poslednja verzija.


Napad na korisnike alatima za rudarenje kriptovaluta je postao veoma popularan, jer korisnik ne može na jednostavan način otkriti da je njegov uređaj zloupotrebljen. Zadnja istraživanja su pokazala da nelegalno rudarenje kriptovalute Monero samo sa alatom Coinhive generiše mjesečnu dobit od oko $250,000. Za razliku od ransomware napada, gdje napadač poslije zaključavanja korisničkih podataka otkriva korisniku da je napadnut i traži otkup za podatke, cilj napada alatima za rudarenje je da bude ne primijećen i da traje što duže. Na to treba gledati kao na parazitski odnos: parazit se hrani domaćinom, ali mu isto tako treba da domaćin ostane živ da bi se mogao dugo hraniti.
 
Korisnici prilikom instalacije Adobe Flash aplikacije mogu prepoznati lažno ažuriranje kada ih Windows operativni sistem upozori da je porijeklo aplikacije nepoznato:



Većina korisnika, nažalost, zanemari ovo upozorenje i nastavi sa instalacijom. Naredna stvar koja korisniku može otkriti da se radi o infekciji uređaja je iskorištenje procesora. Alat za rudarenje XMRig će odmah nakon instalacije početi rudariti kriptovalutu Monero sa iskorištenjem procesora od 100%, što će za posljedicu imati usporen rad uređaja i porast temperature uređaja. U nekim slučajevima, porast temperature uređaja će povećati buku sistema za hlađenje, ako se radi o vazdušnom hlađenju, što može biti  dodatna potvrda infekcije uređaja.

KAKO SE ZAŠTITI:

1. Koristiti provjereno anti-virusno rješenje.
2. Ažurirati aplikacije isključivo sa stranica proizvođača softvera.
3. Edukacija korisnika.

INFEKCIJA UREĐAJA:

Ukoliko utvrdite ili sumnjate da vam je uređaj zaražen, isključite ga sa mreže (sa kabla ili WiFi-a) i ugasite uređaj. Nakon toga kontaktirajte najbliži servis i informišite se o narednom koraku.