В отчетах появилось подробное описание вредоносной программы, в которой используется инструмент взлома NSA (Агентство национальной безопасности Соединённых Штатов) для заражения компьютеров Windows. Вирус идентифицирует доступные ресурсы на ПК жертвы, которые могут быть использованы для добычи XMR (Monero).
Троян был впервые зарегистрирован российским антивирусом Dr.Web.
«Bleeping Computer» сообщил, что авторы вредоносной программы используют взломанный NSA для заражения компьютеров Windows трояном, который идентифицирует доступные ресурсы для перенаправления на майнинг Monero (XMR), альтернативной криптовалюты, ориентированной на конфиденциальность.
Троян впервые обнаружен российским антивирусом Dr.Web, который обнаружил вирус под общим названием Trojan.BTCMine.1259. Троян был идентифицирован как инструмент взлома NSA с именем Doublepulsar, который используется для заражения компьютеров, на которых работают незащищенные службы сервера сообщений (SMB) — сетевой протокол, преимущественно используемый для обеспечения совместного доступа к файлам, принтерам и последовательным портам.
После заражения вредоносное ПО создает простой бэкдор, который позволяет хакерам выполнять свой код на машине. Затем хакеры используют NSA Doublepulsar для загрузки вредоносных программ на зараженную машину. Затем вирус сканирует компьютер, чтобы определить, есть ли у него достаточно ресурсов для выполнения своей полезной нагрузки. Если указанные ресурсы доступны, общий загрузчик вредоносных программ грузит сервер криптовалюты, начнет добывать XMR и отправит добытые монеты на кошелек хакера. Эксперты также отмечают, что троян может отключиться, когда владелец ПК запускает утилиту Task Manager, позволяя вредоносному ПО оставаться незамеченным во время работы.
Trojan.BtcMine.1259 не первый вирус, связанный с криптовалютами, который был создан с использованием Doublepulsar. На прошлой неделе был обнаружен аналогичный вирус под названием Eternalminer, который нацелен на серверы Linux для разработки XMR. Wannacry, программа Ransomware, которая недавно навлекла хаос на предприятия и учреждения по всему миру, также включила Doublepulsar в свой протокол, используясь в качестве основы для самораспространения SMD-червя вредоносного программного обеспечения.