Документы «майнят» без согласия автора
Как работает новая программа-вредитель
Киберпреступники научились использовать документы Word для добычи криптовалют — они вставляют в текстовый файл вредоносный код, который запускает процесс скрытого майнинга. После этого безобидный с виду документ отправляют на почту ничего не подозревающему пользователю, а тот в итоге подключает компьютер к системе добычи виртуальной валюты Monero. Уязвимость обнаружили специалисты компании Votiro Secured. Как работает схема? И как не стать жертвой скрытого майнинга?
Глава российского представительства компании Check Point Software Technologies Василий Дягилев пояснил, что для заражения компьютеров была использована новая функция Microsoft Office — возможность вставлять в документ видео: «Это уникальный зловред, который подгружается уже после того, как пользователь открыл документ. Вслед за этим компьютер фактически превращался в майнинговую машину. То есть вы кликаете на кнопку "play", чтобы воспроизвести видео, которое "вшито" в документ, а там есть скрытая клавиша, активируя которую, вы сами авторизуете злоумышленника, и он получает возможность запустить исполняемый код на ПК. Это пример классической социальной инженерии, когда вам присылается некий документ, например, с роликом о победе нашей российской сборной по хоккею, вы его радостно открываете и запускаете тем самым зловредные коды. Дело в том, что современные системы безопасности компьютера очень часто требуют авторизации пользователя перед запуском. Здесь именно такой механизм использовался».
Скрытый майнинг стал популярен в прошлом году, когда резко выросли курсы большинства виртуальных валют. Специальные программы для заражения чужих компьютеров продаются на «черном рынке», цены на них варьируются от $50 до $850.
Использовать уязвимость MS Word для тайной добычи криптовалют невыгодно, уверен директор по методологии и стандартизации компании Positive Technologies Дмитрий Кузнецов. Но стать жертвой скрытого майнинга очень легко, предупреждает эксперт: «Когда пользователь открывает такой документ, запускается процедура майнинга, которая потребляет очень много ресурсов, то есть происходит замедление программ. Это сразу бросается в глаза. Владелец ПК закрывает программу MS Word, и майнинг останавливается. Скрытый майнинг обычно используется только в тех случаях, когда пользователь очень долго просматривает содержимое, например, роликов на порносайтах. Также такие зловреды распространяются чаще всего через взломанные игры, и непонятно, идет значительное потребление ресурсов из-за их запуска, или же работает вредоносная программа. Рекомендации те же самые, что и в случае вредоносного программного обеспечения — не ходить на подозрительные сайты, не скачивать взломанные программы. Для майнеров имеет смысл использовать программы, которые контролируют как раз основные параметры работы компьютера».
Криптовалюта Monero, которая добывалась благодаря уязвимости Word, считается идеальной для скрытого майнинга. Ее эмиссия возможна практически на любом компьютере, поскольку используются мощности центрального, а не графического процессора. Monero также ориентирована на повышенную анонимность транзакций. Американские исследовательские компании указывали, что добывать эту валюту с помощью чужих компьютеров любят хакеры из Северной Кореи.