Программы для скрытой добычи криптовалют оказались одними из самых популярных вредоносов в 2022 году. Площадкой для их распространения стал Telegram.
Программы–майнеры получают доступ к повседневным гаджетам и используют их ресурсы для добычи криптовалюты незаметно для владельца. Подобные нелегальные схемы называют криптоджекингом. Под угрозой оказываются смартфоны, ПК, Wi–Fi–роутеры и т. п. Техника при этом может слегка глючить: снижается скорость работы и трафика, устройства нагреваются даже при коротком времени использования.
Пересели на телегу
Одним из самых популярных источников, где преступники могут достать вредоносные программы, в 2022 году стал Telegram. Связывают это с тем, что правоохранительные органы закрыли несколько популярных площадок в даркнете. В мессенджере же, по данным Positive Technologies, количество соответствующих чатов, ботов и каналов во II квартале 2022–го выросло более чем в 2 раза по сравнению с аналогичным периодом в 2021 году.
"Завоёвывать" Telegram мошенники начали примерно с конца 2019–го — начала 2020 года. При этом спрос на популярные у киберпреступников программы–вымогатели, зашифровывающие данные пользователя, там был низок. Наибольший интерес у преступников последние пару лет вызывали программы для удалённого управления и шпионское ПО. Но к началу 2022 года расклад поменялся — одними из самых популярных оказались майнеры (19% от всех вредоносов).
По данным "Лаборатории Касперского", в III квартале 2022 года количество новых вредоносных программ–майнеров в мире превысило 150 тыс. Для сравнения: количество новых программ–вымогателей (ransomware) в том же квартале не превысило 15 тыс. По сравнению с III кварталом 2021 года число атак на российских пользователей с помощью майнеров выросло на 75%.
"ДП" ознакомился с несколькими рекламными сообщениями, в которых хакеры предлагают купить программы для майнинга криптовалют с чужих устройств. Одно из них нацелено на добычу валюты Monero. Разработчики заявляют, что "невозможно убить процесс" на Windows 7, а также что программа скрывается от "Диспетчера задач" и Process Hacker. В другом сообщении к ПО также прилагается склейщик файлов (инструмент для склейки программ и вредоносной нагрузки с вирусным кодом). "Файлы предназначены для создания своей майнинговой империи. В архиве также содержится мануал по работе с софтом. Хороший повод стать главным компьютерным мастером на районе", — пишут хакеры.
Лёгкие деньги
В данный момент курсы криптовалют упали, поэтому должен снизиться и спрос на программы. Но даже с учётом этого он всё равно остаётся высоким. Михаил Сергеев, ведущий инженер CorpSoft24, отмечает, что майнеры могут принести преступникам более стабильный доход, нежели другие вредоносы. В этом и заключается причина их популярности.
"Программы для DDoSS–атак могут не приносить вообще никакого дохода, так как нужно шантажировать атакуемого и просить у него деньги. Он может отказаться и использовать защиту от DDoSS. Атакующий будет терять ресурсы, время и не зарабатывать деньги", — объясняет он. Также эксперт напоминает, что основная проблема майнинга — электричество. При использовании чужих устройств за него платить не надо, поэтому эффективность повышается.
Евгений Качуров, эксперт по информационной безопасности компании Axenix (экс–Accenture), согласен, что майнинг — довольно простой способ получения прибыли, особенно если у злоумышленника есть доступ к инфраструктуре.
"Например, в 2011 году в QIWI один из сотрудников занимался майнингом криптовалют при помощи принадлежащих QIWI терминалов. Оценивают, что он намайнил 500 тыс. биткоинов за 3 месяца. Если смотреть по текущему курсу биткоина, то сотрудник мог заработать миллиарды долларов", — рассказывает он.
Виталий Моргунов, руководитель отдела детектирования сложных угроз "Лаборатории Касперского", добавляет, что майнеры проще использовать: "Достаточно приобрести готовый вредоносный файл, обеспечить путь его распространения и получать прибыль на свой криптокошелёк за счёт вычислительных ресурсов устройства жертвы. Вредоносные майнеры не требуют большого количества шагов и особых технических навыков. По сравнению с другими видами атак (например, с программами–шифровальщиками) они менее заметны, а получение прибыли не требует раскрытия себя — требования выкупа и т. п.".
Чат с хакером
Основная опасность майнеров именно в загрузке системы. Это может привести к снижению времени отклика или нарушению её доступности. Кроме того, совместно с криптомайнерами на компьютер жертвы попадает ещё и ПО для удалённого администрирования сервера, что может привести к утечкам и нарушению доступности информации. После этого компьютер или сервер могут использовать в ботнет–сети для организации DDoS–атак.
"Майнер можно подхватить, скачивая и устанавливая программу из ненадёжного источника, например скачав repack какой–нибудь игры на торренте. Установщик ставит вам саму игру и в дополнение — скрытый майнер. Игра работает — вы довольны, но работает и майнер, который приносит пассивный доход владельцу", — описывает схему Качуров.
По словам Виталия Моргунова, риску подвержены все популярные операционные системы: Windows, Linux, MacOS, Android. Чаще всего заражают именно Windows, поскольку она является наиболее популярной.
"Майнеры замедляют скорость работы устройств, изнашивают аппаратную часть и потребляют много электричества. Пользователь может заметить, что, например, программы дольше загружаются или ему приходится чаще покупать новое оборудование. Майнерами также заражают корпоративные серверы, где износ оборудования и снижение скорости процессов оказывают ещё большее влияние: компании несут финансовые убытки", — рассказывает эксперт.
Михаил Сергеев считает, что Telegram лишь стал современным инструментом для связи продавца и покупателя. Раньше для этого использовали другие ресурсы, например icq.
Даркнет всё равно остаётся самым популярным источником, потому что он гарантирует анонимность покупателя и продавца.
Качуров тоже не верит, что в Telegram сильно практикуется реальная продажа. Скорее большая часть сообщений будет относиться к мошенническим из разряда "сначала деньги, а потом результат". "Как ни странно, но на “тёмной стороне” интернета есть форумы, где продают хакеры с определённым уровнем репутации. Скорее настоящий злоумышленник будет искать помощи там, а не в telegram–чатах", — утверждает он.
Виталий Моргунов добавляет, что Telegram облегчает процессы поиска конкретных нелегальных услуг через встроенные инструменты. Из–за чего эта площадка стала удобной как для заказчиков, так и для исполнителей. Если раньше необходимо было искать сервисы, скачивать специальный браузер, то теперь нелегальными услугами потенциально может воспользоваться кто угодно. В том числе неопытные пользователи. При этом злоумышленники могут оказаться обычными мошенниками: получив деньги жертвы, они перестают выходить на связь.