Обнаружена новая программа для майнинга, работающая на устройствах ничего не подозревающих пользователей. Как выяснили специалисты по безопасности компании Cylance (дочка BlackBerry), вредоносное ПО прячется на виду — среди аудиофайлов формата .
«При воспроизведении некоторые файлы WAV проигрывают музыку без каких бы то ни было проблем или глюков. Другие — просто генерировали статический (белый) шум», — отмечается в исследовании.
Файлы WAV, доставляемые с помощью целевых фишинговых писем, являются вредоносными программами, которые используют зараженное устройство для майнинга криптовалюты Monero. «Такая стратегия имеет дополнительный уровень защиты, потому что основной код раскрывается только в памяти устройства, что делает обнаружение вируса сложнее», — объясняют в Cylance.
Для распространения вирусов файлы WAV использовались и раньше. В частности, вирусы Turla, известные также как Uroboros. Использование же аудиофайлов для внедрения вредоносного кода происходит впервые.
Применение более сложных механизмов сокрытия говорит о развитии тактики защиты от обнаружения и раскрытия. Это значит, что методы защиты нуждаются в существенной модернизации, без которой они не уже не в состоянии отслеживать подобные атаки.
«Авторы вредоносных программ использовали комбинацию стеганографии (метод кодирования, который скрывает наличие связи) и других методов кодирования для обфускации (запутывания кода) и выполнения кода, — дали заключение исследователи. — Эта стратегия позволила злоумышленникам скрыть исполняемый контент, что делает обнаружение угрозы сложной задачей».
