Bitdefender har upptäckt en ny kombination av mask och kryptominer som riktar sig till spelare och vill bli upptäckta så länge som möjligt. Detta uppnås genom skadedjur som döpts av Beapy / PCASTLE genom att inaktivera det när du startar spel som Counter Strike, League of Legends eller Grand Theft Auto.
Cryptominer känner igen specifika spel och applikationer baserat på en lista över lagrade processer. Genom att inaktivera spelutförandet minskar inte Kryptominer spelprestanda och är mindre synligt på det drabbade systemet. Så snart spelet är klart fortsätter gruvan i bakgrunden.
Task Manager slutar också gruvdrift
I listan över processer finns också Windows Task Manager, så att CPU-belastningen sjunker så snart användaren startar och letar efter orsaken till den höga belastningen, vilket kan uttryckas i en snabbare snurrande fläkt.
Parallellt med utnyttjandet av EternalBlue
Cryptominer bryter Monero cryptocurrency (XMR), och för Beapy / PCASTLE används CPU- och GPU-resurser som är kraftfulla från speldatorer för att skapa Monero. Skadegörare består av Python- och PowerShell-komponenter för att kombinera kryptominer med mask. Systemet är infekterat av en ofullständig sårbarhet, som enligt Bitdefender liknar den farliga EternalBlue-exploiten, programmeringsfel i implementeringen av SMB från Windows utnyttjas och används också av WannaCry. Sårbarheten utnyttjades av NSA i flera år innan den rapporterades till Microsoft efter avslöjningarna.
bild 1 av 2
Uppfylld av ett modifierat DriveTheLife-installationsprogram
För närvarande når Wurm-Cryptominer-kombinationen genom en modifierad version av DriveTheLife-programmet många system som automatiskt uppdaterar drivrutiner på ett system.
Beapy / PCASTLE märktes först i slutet av 2018 och har sedan dess spridit sig till många regioner över hela världen. Flera Kryptominator Worm-moduler har sedan uppdaterats av deras utvecklare för att förbättra och dölja dem.
