В Южной Корее злоумышленник организовал скрытую добычу криптовалюты в интернет-кафе, применив нетипичную и технически сложную схему атаки. Вместо стандартной установки вредоносного ПО он внедрил майнер прямо в оперативную память действующих процессов, что позволило ему обойти большинство антивирусов.
Как пояснила инженер-аналитик компании «Газинформсервис» Екатерина Едемская, в этой атаке использовалась программа удалённого доступа Gh0st RAT. Вредоносный код «вживлялся» в память легитимных приложений после их сравнения с заранее подготовленными шаблонами. Кроме того, хакер заменил системный файл cmd.exe, что дало возможность запускать вредоносный код при внешне обычных действиях.
Майнер T-Rex был выбран специально — он оптимизирован под игровые видеокарты, установленные в интернет-кафе, что обеспечивало максимальную производительность. Едемская отметила, что такие атаки, проходящие исключительно в памяти, сложно обнаружить, и рекомендовала использовать поведенческую аналитику. В частности, она выделила комплекс Ankey ASAP, способный в реальном времени фиксировать отклонения в действиях пользователей и программ.
по материалам
уникальность