Аналитический центр AhnLab Security обнаружил новый способ распространения вредоносного программного обеспечения XMRig CoinMiner через взломы игр. Злоумышленники загружают сжатые файлы, представленные как хаки для известных игр, на специальные сайты, распространяющие кряки.
Пользователям предлагается установить вредоносное ПО, маскирующееся под инструкции по отключению блокировок загрузок в браузере и антивирусных программ. Загрузчик устанавливает XMRig CoinMiner и вредоносное ПО, отключающее антивирусный программный обеспечение. Когда CoinMiner установлен, он использует PowerShell для отключения Windows Defender и удаления служб, занимающихся обнаружением и удалением вредоносных программ. Он также пытается обойти обнаружение, редактируя файл hosts. XMRig CoinMiner также копирует себя в папку %ProgramData%\Google\Chrome и регистрируется в службе с именем GoogleUpdateFile для поддержания постоянства.
Indicators of Compromise
URLs
- https://cdn.discordapp[.]com/attachments/1195976176963948674/1195992986664829008/dupdate.exe?ex=65b60244&is=65a38d44&hm=66ae5a48329d7c237b8bd6d0506d4feb9c1e14281e918d8f2057bd0694a06ad2&
MD5
- 58008524a6473bdf86c1040a9a9e39c3
- 7698fe6bd502a5824ca65b6b40cf6d65
- db98d8d6c08965e586103b307f4392fb
