Złośliwe oprogramowanie do pozyskiwania kryptowalut ukryte w pliku dźwiękowym

zlosliweoprogramowanie.jpg

Złośliwe oprogramowanie do nielegalnego pozyskiwania kryptowalut przez hakerów (kryptominer) zostało wykryte w pliku dźwiękowym .wav, który cyberprzestępcy spreparowali specjalnie w celu dystrybucji wirusa - podaje serwis Computer Weekly.

Firma Guardicore Labs, która wykryła ten sposób działania hakerów poinformowała, iż przypadek jego użycia w ataku na ofiarę z branży technologii medycznej został zaobserwowany przez jej ekspertów w grudniu ubiegłego roku. Pliki dźwiękowe .wav są często dużo większe niż inne popularne formaty audio, takie jak np. MP3, z powodu braku kompresji i zazwyczaj wykorzystywane są przez osoby związane z branżą muzyczną lub radiową ze względu na możliwości optymalizacji jakości nagrań.

Według specjalistów pracujących w GL plik .wav umożliwił hakerom zainfekowanie sieci urządzeń wirusem pozyskującym kryptowalutę monero z wykorzystaniem podatności EternalBlue, która wcześniej w globalnym cyberataku z 2017 roku posłużyła cyberprzestępcom do rozpowszechnienia złośliwego oprogramowania szyfrującego WannaCry. Atak z wykorzystaniem pliku dźwiękowego przeprowadzony był na komputery z systemem Windows 7, którego wsparcie technologiczne Microsoft wygasił w tym tygodniu.

Skrypt wykorzystywany przez hakerów znaleziono na ponad 800 komputerach działających w sieci atakowanego podmiotu. Pierwsze nieprawidłowości zostały zarejestrowane przez administratorów sieci w październiku ubiegłego roku, kiedy kilka komputerów z sieci wyświetliło nieoczekiwanie tzw. niebieski ekran śmierci w wyniku błędu jądra systemu. Według Guardicore Labs skutecznie zainfekowano jednak tylko jeden komputer, na którym odnaleziono ciąg kodu stanowiący polecenie dostępu do danych w kluczu rejestru.

Eksperci firmy GL usunęli wirusa z sieci zaatakowanego podmiotu, następnie zaś zatrzymali wywołane przez złośliwe oprogramowanie procesy i wykasowali klucze rejestru, które zostały nadpisane przez skrypt cyberprzestępców. Jak podkreślają w swoim raporcie z incydentu, to pierwszy zaobserwowany w całości przypadek wykorzystania techniki steganografii przez ukrycie złośliwego oprogramowania w pliku dźwiękowym, który posłużył do przeprowadzenia cyberataku. (PAP)