Фалшива актуализация на Adobe Flash крие малуер за копаене на крипто

Фалшиви актуализации на Adobe Flash се използват за тайно инсталиране на зловреден софтуер за копаене на криптовалути, на компютри и в мрежи, което създава сериозни загуби на време, производителността на системата и консумацията на енергия за засегнатите потребители.

Докато фалшивите актуализации на Flash, които прекарват злонамерения софтуер, традиционно са лесни за откриване и избягване. Нова кампания използва нови трикове, които скрито изтеглят крипто копачи в системите на Windows.

Пишейки в публикация, излагаща схемата, анализаторът на разузнаване на заплахи на Unit 42, Брад Дънкан, заяви:

Още през август 2018 г. някои мостри, представящи се за актуализации за Flash, са взели известия от изскачащи прозорци, от официалния инсталатор на Adobe. Тези фалшиви актуализации на Flash инсталират нежелани програми, като XMRig крипто копач, но този злонамерен софтуер може също така да актуализира Flash Player-а на жертвата до последната версия.

Последицата от този неприятен сценарий е, че потенциалната жертва може да не забелязва нищо необичайно, докато един копач или друга нежелана програма на XMRig тихо се движи във фона на Windows компютъра на жертвата. Този софтуер би могъл да забави процесора на компютъра на жертвата, да повреди твърдия диск или да извлече поверителни данни и да го предаде на други цифрови платформи без съгласието на жертвата.

Технически подробности за фалшива Adobe актуализация

Дънкан обясни, че не е съвсем ясно как потенциалните жертви стигат до URL адресите, предоставящи фалшивите актуализации на Flash, обаче, мрежовият трафик по време на процеса на инфектиране е свързан главно с измамните актуализации на Flash. Интересното е, че заразеният сървър на Windows генерира HTTP POST искане За [osdsoft [.] Com], домейн, свързан с актуализатори или инсталатори, които разпространяват крипто копачите.

Той каза, че докато изследователският екип е търсил някои конкретни фалшиви актуализации на Flash, те са наблюдавали някои файлове на Windows с имена, започващи с Adobe Flash Player от уеб сървъри, базирани на облак, които не са от Adobe. Тези изтегляния обикновено съдържаха в URL адреса: “flashplayer_down.php? Clickid =”.

Екипите откриха и 113 примера за злонамерен софтуер, които отговарят на тези критерии от март 2018 г. в AutoFocus. 77 от тези проби на зловреден софтуер са идентифицирани с етикет CoinMiner в AutoFocus. Останалите 36 проби споделят други маркери с тези 77 изпълними файлове, свързани с CoinMiner.

Дънкан насърчи потребителите на Windows да бъдат по-предпазливи по отношение на видовете актуализации на Adobe Flash, които се опитват да инсталират, като посочва, че докато функционалността на Adobe за изскачащи прозорци и актуализация правят фалшивия инсталатор по-легитимен, потенциалните жертви все пак ще получават предупреждение за пускане на изтеглен файл на компютъра си с Windows.

По думите му:

Организациите с достоверно филтриране по интернет и образовани потребители имат много по-малък риск от заразяване от тези фалшиви актуализации.

Наскоро беше съобщено, че доклад от лабораториите на McAfee показва, че криптоджакинга е нараснал с 86% през второто тримесечие на 2018 г. и от 2017 до днес е нараснал с 459%.