Криптомайнер с элементами бота заражает компьютеры на Windows

Исследователи из Palo Alto Networks за девять месяцев выявили 166 тыс. случаев заражения троянской программой Rarog, которая в основном используется для скрытого майнинга Monero на Windows, сообщает Threatpost. Большинство жертв зловреда находятся на Филиппинах, в России и Индонезии.

Одна из недавних кампаний по распространению Rarog использовала слабость парольной защиты доступа к административной панели Magento и затронула не менее 1000 сайтов, использующих эту CMS-платформу.

На настоящий момент обнаружено 2,5 тыс. уникальных образцов этой вредоносной программы и более 160 командных серверов — с набольшей концентрацией в России и Германии.

Новоявленный троян со встроенным майнером объявился на подпольных русскоязычных форумах около года назад. На тот момент некто, использующий ник arsenkooo135, продавал новый зловред за 6 тыс. рублей, предлагая также гостевую админпанель для «тест-драйва».

Свое имя Rarog, как полагают эксперты, позаимствовал у огненного духа из славянской мифологии. Анализ показал, что эта вредоносная программа предоставляет возможность регулирования нагрузки на ЦП жертв и отслеживания результатов криптомайнинга. Троян также пытается скрыть работу майнера от Диспетчера задач Windows и специализированных программ-анализаторов запущенных процессов (NetMonitor, KillProcess, System Explorer, Process Hacker и т.п.).

Кроме добычи Monero и других криптовалют, Rarog умеет выполнять некоторые функции, свойственные ботам, — в частности, загружать и запускать на исполнение дополнительные вредоносные файлы, самостоятельно обновляться, проводить DDoS-атаки. Кроме того, он способен заражать устройства, подключаемые по USB.

* * *