Поддельный MSI Afterburner заражает ПК Windows майнерами и стиллерами

2022-11-25 8541 комментарии
Геймеры и опытные пользователи Windows стали мишенью новой вредоносной кампании с использования фальшивого приложения MSI Afterburner, которое заражает компьютеры майнерами криптовалюты и вредоносным ПО для кражи данных

MSI Afterburner — это утилита управления параметрами графического процессора, которая позволяет настраивать разгон, создавать профили вентиляторов, выполнять захват видео и отслеживать температуру установленных видеокарт и загрузку ЦП.

Хотя сама программа создана MSI, программа может использоваться для настройки практически всех видеокарт. Поэтому она используется миллионами геймеров по всему миру, которые настраивают параметры для повышения производительности игр, снижают температуру или шум от системы охлаждения.

Популярность этого инструмента сделала его хорошей мишенью для злоумышленников, которые нацелены на пользователей Windows с мощными графическими процессорами, ведь эти мощности можно использовать для майнинга криптовалюты.

Фальшивый MSI Afterburner

Согласно новому отчету Cyble, за последние три месяца в сети появилось более 50 веб-сайтов, выдающих себя за официальный сайт MSI Afterburner.

Во вредоносной кампании использовались домены, которые могли заставить пользователей думать, что они посещают легитимный сайт. Такие домены продвигаются с помощью технологий BlackSEO. Cyble перечисляет некоторые из них:

Перечисленные домены добавлены в антифишинговый фильтр Comss.one DNS.

В остальных случаях домены не напоминали бренд MSI и, похоже, продвигались через прямые сообщения, в социальных сетях и на форумах. Приведем несколько примеров:

git[.]git[.]skblxin[.]matrizauto[.]net
git[.]git[.]git[.]skblxin[.]matrizauto[.]net
git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
git[.]git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net

Скрытый майнинг и кража паролей

При запуске фальшивого установочного файла MSI Afterburner (MSIAfterburnerSetup.msi) будет установлена подлинная программа Afterburner. Тем не менее, установщик также незаметно запустит на скомпрометированном устройстве вредоносное ПО RedLine для кражи информации и майнер XMR.

Майнер устанавливается через 64-битный исполняемый файл Python browser_assistant.exe в локальном каталоге Program Files, который внедряет оболочку в процесс, созданный установщиком.

Этот шелл-код извлекает майнер XMR из репозитория GitHub и внедряет его непосредственно в память в процесс explorer.exe. Поскольку майнер не оставляет следов на диске, шансы быть обнаруженным антивирусами сведены к минимуму.

Майнер подключается к своему пулу, используя явно заданное имя пользователя и пароль, а затем собирает и передает основные системные данные злоумышленникам.

Один из аргументов, который использует майнер XMR, — это «Максимальное количество потоков ЦП» (CPU max threads), установленное в значение 20, что превышает количество самых современных потоков ЦП. Это значит, что майнер настроен на захват всей доступной мощности.

Майнер настроен таким образом, что начинает добывать криптовалюту только через 60 минут после перехода процессора в режим простоя, т.е. когда зараженный компьютер не выполняет никаких ресурсоемких задач и, скорее всего, остается без присмотра.

Кроме того, он использует аргумент -cinit-stealth-targets, который позволяет приостановить активность майнинга и очистить память графического процессора при запуске определенных программ, перечисленных в разделе «невидимые цели».

В этом разделе могут быть мониторы процессов, антивирусные инструменты, средства просмотра аппаратных ресурсов и другие инструменты, которые могут помочь жертве обнаружить вредоносный процесс.

Например, майнер пытается скрыться от таких приложений, как Taskmgr.exe, ProcessHacker.exe, perfmon.exe, procexp.exe и procexp64.exe.

Пока майнер незаметно захватывает ресурсы вашего компьютера для добычи монеты Monero, RedLine активно работает в фоновом режиме, крадя ваши пароли, файлы cookie, информацию браузера и любые криптовалютные кошельки.

К сожалению, почти все компоненты этой вредоносной кампании плохо обнаруживаются антивирусным ПО.

VirusTotal сообщает, что вредоносный установочный файл MSIAfterburnerSetup.msi обнаруживается только тремя антивирусными движками из 56, а browser_assistant.exe обнаруживается только двумя из 67 продуктов.

Это не первый подобный случай. Ранее мы сообщали, что фишинговая страница загрузки MSI Afterburner распространяет вредоносное ПО.

Чтобы обезопасить себя от скрытых майнеров и вредоносного ПО, загружайте инструменты непосредственно с официальных или доверенных ресурсов, а не с сайтов, опубликованных на форумах, в социальных сетях или в личных сообщениях.

Безопасный установщик MSI Afterburner можно загрузить на официальной странице или на нашем сайте.

Скачать MSI Afterburner

© . По материалам Bleeping Computer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте