Cacing baru: Kryptominer mendeteksi game dan mati
Bitdefender telah menemukan kombinasi worm dan cryptominer baru yang menargetkan pemain dan ingin tidak terdeteksi selama mungkin. Ini dicapai oleh hama yang dibaptis oleh Beapy / PCASTLE dengan menonaktifkannya saat memulai game seperti Counter Strike, League of Legends atau Grand Theft Auto.
Cryptominer mengenali gim dan aplikasi tertentu berdasarkan daftar proses yang tersimpan. Dengan menonaktifkan eksekusi game, Kryptominer tidak mengurangi kinerja game dan kurang terlihat pada sistem yang terpengaruh. Segera setelah game selesai, tambang melanjutkan di latar belakang.
Task Manager juga berhenti menambang
Dalam daftar proses juga Windows Task Manager, sehingga beban CPU turun segera setelah pengguna memulai dan mencari penyebab tingginya beban, yang dapat diekspresikan pada kipas yang berputar lebih cepat.
Paralel dengan eksploitasi EternalBlue
Cryptominer menambang cryptocurrency Monero (XMR), dan dalam kasus Beapy / PCASTLE, sumber daya CPU dan GPU yang kuat dari PC gaming digunakan untuk membuat Monero. Hama terdiri dari komponen Python dan PowerShell untuk menggabungkan cryptominer dengan worm. Sistem terinfeksi oleh kerentanan yang tidak lengkap, yang menurut Bitdefender mirip dengan exploit EternalBlue yang berbahaya, kesalahan pemrograman dalam implementasi SMB dari Windows dieksploitasi dan juga digunakan oleh WannaCry. Kerentanan telah dieksploitasi oleh NSA selama bertahun-tahun sebelum dilaporkan ke Microsoft setelah wahyu.
gambar 1 dari 2
Dipenuhi oleh penginstal DriveTheLife yang dimodifikasi
Saat ini, kombinasi Wurm-Cryptominer, melalui versi modifikasi dari program DriveTheLife, menjangkau banyak sistem yang secara otomatis memperbarui driver pada suatu sistem.
Beapy / PCASTLE pertama kali diperhatikan pada akhir 2018 dan sejak itu menyebar ke banyak wilayah di seluruh dunia. Beberapa modul Worm Kryptominator sejak itu terus diperbarui oleh pengembang mereka untuk meningkatkan dan menyembunyikannya.
