V systémech letiště našli skripty na těžbu kryptoměn

Skripty pro těžbu kryptoměn využívají stále důmyslnější způsoby, jak se skrýt před různými bezpečnostními řešeními. Na jednom evropském letišti dosud používali pouze antiviry a teprve nedávno se rozhodli nasadit řešení Endpoint Detection and Response (EDR) od společnosti Cyberbit. To monitoruje chování celého systému, jeho výkon, práci uživatelů a podobné vlastnosti, ve kterých hledá nějaké abnormality. Po nasazení systému a 4hodinové analýze chování bylo zjištěno, že letištní síť rozhodně není tak čistá, jak se zprvu zdálo. Našli zde totiž skripty, které těžily kryptoměnu Monero.

 

 

Systém především detekoval překvapivě velké množství spouštění nástroje PAExec, který dovoluje vzdálený běh aplikací bez nutnosti jejich instalace. Ten spouštěl procesor player.exe a navíc bylo využito nahrávání DLL knihoven bez zapojení pevných disků (Reflective DLL Injection). Tím pádem se malware vyhnul analýze pevného disku pomocí antivirového řešení. Po další analýze se ukázalo, že jde o CryptoMiner Variant #2, variantu xmrig mineru těžícího kryptoměnu Monero. Není však divu, že jej antiviry nedetekovaly, protože přes VirusTotal byl odhalen pouhými 16 antiviry ze 73 testovaných. Celkově se infekce našla na více než 50 % počítačů na letišti. 

 

Zdroj: zdnet.com, cyberbit.com