Криптомайнинговый ботнет VictoryGate распространялся через USB-накопители

ИБ-фирма ESET сообщила об успешном обезвреживании вредоносного ботнета VictoryGate, заразившего более 35 тыс. устройств.

Ботнет был активен с мая 2019 года, и большинство его жертв располагались в Латинской Америке, причем на Перу приходилось более 90% от общего числа зараженных систем. По словам специалистов, основной целью ботнета было заражение жертв вредоносным ПО для тайной добычи криптовалюты Monero.

Управление ботнетом осуществлялось через динамический DNS-сервис No-IP. Эксперты из ESET отключили C&C-сервер и создали вместо него поддельный сервер для мониторинга и контроля зараженных хостов.

В настоящее время ESET сотрудничает с некоммерческой организацией Shadowserver Foundation и уведомляет всех владельцев устройств, подвергшихся заражению. Как сообщили специалисты, ежедневно от 2 тыс. до 3,5 тыс. устройств все еще пытаются выйти на связь с C&C-сервером для получения новых команд.

«Единственный вектор распространения, который мы смогли подтвердить — это съемные устройства. Жертва получает USB-накопитель, который когда-то был подключен к зараженной машине. После подключения вредоносного USB-накопителя на устройство устанавливается вредоносное ПО», — пояснили исследователи.

После подключения к зараженному устройству исходные файлы на USB-накопителях копировались в скрытый каталог в корне жесткого диска и появлялись одноименные исполняемые файлы Windows. Фактически, данные исполняемые файлы являются AutoIt-скриптами, скомпилированными на ходу. Процесс сборки также добавляет случайные метаданные в каждый файл, чтобы любые два скомпилированных скрипта не имели тот же хэш. Как только пользователь запустит один из таких файлов, AutoIt-скрипт откроет оба файла в дополнение к исходному модулю.

Как только модуль будет выполнен, он создаст свою собственную копию в %AppData% и ярлык в папке автозагрузки, указывающий на данную копию, обеспечивая себе тем самым персистентность при загрузке системы.

По данным ESET, операторы VictoryGate успели заработать по меньшей мере 80 Monero (примерно $6 тыс.).

Источник: https://www.securitylab.ru/news/507855.php