코인 마이너

사이버 범죄자들은 항상 돈을 벌 수 있는 새로운 방법을 찾고 있습니다. 암호 화폐라고도 하는 디지털 통화의 등장으로 범죄자들은 맬웨어를 재구성하여 organization 침투하고 비밀리에 동전을 채굴할 수 있는 독특한 기회를 봅니다.

동전 광부의 작동 방식

많은 감염은 다음으로 시작합니다.

• 맬웨어를 설치하려는 첨부 파일이 있는 메시지를 Email.

• 웹 브라우저 및 기타 소프트웨어에서 취약성을 사용하여 동전 광부를 설치하려고 시도하는 익스플로잇 키트를 호스팅하는 웹 사이트입니다.

• 사용자가 웹 사이트를 탐색하는 동안 스크립트를 실행하여 컴퓨터 처리 능력을 활용하는 웹 사이트.

마이닝은 블록체인 원장을 유지하는 데 필요한 복잡한 수학 계산을 실행하는 프로세스입니다. 이 프로세스는 동전을 생성하지만 상당한 컴퓨팅 리소스가 필요합니다.

동전 광부는 본질적으로 악의적이지 않습니다. 일부 개인과 조직은 합법적인 동전 채굴 작업을 위해 하드웨어 및 전력에 투자합니다. 그러나 다른 사람들은 컴퓨팅 능력의 대체 소스를 찾고 회사 네트워크로 가는 길을 찾으려고 노력합니다. 이러한 동전 광부는 귀중한 컴퓨팅 리소스를 먹기 때문에 엔터프라이즈 환경에서 원하지 않습니다.

사이버 범죄자는 다른 사람의 컴퓨팅 리소스를 희생하여 트로이 목마 광부를 배포, 설치 및 실행하는 맬웨어 캠페인을 실행하여 수익을 창출 할 수있는 기회를 봅니다.

예제

랜섬웨어를 배포하는 것으로 알려진 DDE 익스플로잇은 이제 광부를 제공하고 있습니다.

예를 들어 트로이 목마:Win32/Coinminer로 검색된 맬웨어 샘플(SHA-256: 7213cbbb1a634d780f9bb861418eb262f58954e6e5dca09ca50c1e1324451293)은 Exploit:O97M/DDEDownloader PA에 의해 설치됩니다. DDE 익스플로잇이 포함된 Word 문서입니다.

악용은 악의적인 PowerShell 스크립트(트로이 목마:PowerShell/Maponeir.A)를 실행하는 cmdlet을 시작합니다. 그것은 트로이 목마 광부를 다운로드, 광부 XMRig의 수정 된 버전, 다음 모네로 암호 화폐를 채굴.

동전 광부로부터 보호하는 방법

PUA(사용자 동의 없이 설치된 애플리케이션) 검색을 사용하도록 설정합니다. 일부 동전 마이닝 도구는 맬웨어로 간주되지 않지만 PUA로 검색됩니다. PUA로 검색된 많은 애플리케이션은 컴퓨터 성능 및 직원 생산성에 부정적인 영향을 미칠 수 있습니다. 엔터프라이즈 환경에서는 PUA 검색을 사용하도록 설정하여 광고웨어, 토런트 다운로더 및 동전 마이닝을 중지할 수 있습니다.

동전 광부는 다양한 종류의 공격에서 인기있는 페이로드가되고 있기 때문에 맬웨어 감염을 예방하는 방법에 대한 일반적인 팁을 참조하세요.

동전 광부에 대한 자세한 내용은 블로그 게시물 보이지 않는 리소스 도둑 : 암호 화폐 광부의 증가 위협을 참조하세요.