ESET unieszkodliwia botnetową kryptokoparkę, która zarażała przez pendrive’y

Badacze ESET dokonali niedawno odkrycia nowego, nieudokumentowanego dotąd botnetu VictoryGate, wykorzystującego zainfekowane komputery do kopania kryptowalut. Dzięki zdobytym w trakcie badań informacjom udało się unieszkodliwić znaczną część szkodliwych operacji.

Botnet VictoryGate działał co najmniej od maja 2019, a jego aktywność skupiona była przede wszystkim na terenie Peru, gdzie znajdowało się ponad 90 procent zainfekowanych maszyn. Zainfekowane komputery były wykorzystywane do kopania popularnej kryptowaluty Monero. Po stronie użytkowników przejawiało się to przede wszystkim wysokim zużyciem zasobów systemowych i stałym obciążeniem procesora sięgającym nawet 99 procent, a w efekcie wolniejszym działaniem urządzenia. W skrajnych przypadkach mogło to prowadzić do przegrzewania, a ostatecznie także awarii zainfekowanych komputerów.

Wykorzystując informacje zdobyte na temat nielegalnej sieci, badaczom ESET we współpracy z firmą No-IP, dostawcą usług DNS, udało się przekierować ruch z kilku domen kontrolujących aktywność botnetu na własne maszyny. Zamiast wysyłać zainfekowanym komputerom polecenia, podstawione serwery zbierały jedynie informacje na temat ich aktywności. Pozwoliło to unieszkodliwić znaczną część operacji botnetu oraz ustalić, że było do niego podłączonych przynajmniej 35 tysięcy maszyn.

Złośliwy kod dystrybuowany był z wykorzystaniem nośników zewnętrznych, np. pendrive’ów. Po podłączeniu dowolnego zewnętrznego nośnika do zainfekowanego komputera, każdy znajdujący się na nim plik zostawał nadpisany kopią wirusa. Kiedy niepodejrzewająca niczego ofiara otworzyła taki plik na innym urządzeniu, uruchamiał się znajdujący się w nim złośliwy skrypt, a maszyna zostawała przyłączona do sieci botnet. Razem z silnym mechanizmem unikania detekcji oraz funkcją zdalnego aktualizowania poszczególnych modułów wirusa przesądziło to o jego wysokiej skuteczności w infekowaniu kolejnych urządzeń. Jest to także główny powód, dlaczego botnet stanowił tak duże zagrożenie dla ofiar, a należały do nich przede wszystkim firmy z sektora publicznego oraz branży finansowej.

Po więcej szczegółów dotyczących zagrożenia VictoryGate odsyłamy do wpisu na blogu WeLiveSecurity: Following ESET’s discovery, a Monero mining botnet is disrupted (EN).