12/09/2017

Jaką masz pewność, że nie masz żadnych ukrytych koparek?

Bezpieczeństwo Zagrożenia

Wykopywanie kryptowalut to ostatnio modne wyrażenie w branży informatycznej i zjawisko, które się stosunkowo szybko rozwija. Ponieważ trend ten coraz bardziej się rozprzestrzenia, coraz więcej ludzi podejmuje się „wykopywania” czy dodawania bloków do łańcucha, licząc na nagrodę w postaci kryptowaluty. Aby zarabiać pożądane monety, kopacze ci muszą wymyślać coraz bardziej pomysłowe sposoby, niekoniecznie legalne. Część odważniejszych „kopaczy” nie ma skrupułów i działa na cudzy koszt.

Dlaczego kopacze potrzebują Twojego komputera

Pisaliśmy już o botnetach i o tym, jak hakerzy mogą przekształcić czyjś komputer w zombie, czyniąc go częścią botnetu. Sieć takich komputerów-zombie może zostać użyta do rozmaitych celów, na przykład do wydobywania kryptowaluty.

Mówiąc w uproszczeniu, komputer staje się częścią rozproszonej sieci, której moc obliczeniowa jest wykorzystywana do wykopywania kryptowaluty, która trafia do kieszeni właściciela botnetu. Kilka tysięcy komputerów tworzących botnet może wydobyć kryptowalutę znacznie szybciej niż pojedynczy komputer. W przypadku takiego botnetu ofiary płacą więcej za prąd, przez co instalowanie aplikacji-koparek na komputerach nieświadomych użytkowników staje się dla hakerów niezwykle lukratywnym biznesem.

Użytkownik może zainstalować aplikację służącą do kopania celowo, aby wydobywać kryptowalutę na własną rękę. Jednak rozróżnienie legalnego wydobywania od nielegalnego stanowi nie lada wyzwanie. Służące do tego aplikacje wyglądają identycznie: różnica jest jedynie w tym, że instalacja odbywa się potajemnie, a aplikacja działa nielegalnie.

Jak ukryty program do kopania przedostaje się na komputer

W większości przypadków program taki jest instalowany na komputerze przy pomocy specjalnych szkodliwych aplikacji, tzw. dropperów, których głównym zadaniem jest potajemne instalowanie kolejnego programu. Droppery zwykle ukrywają się w pirackich wersjach produktów, które wymagają zakupienia licencji, lub generatorach kluczy aktywacyjnych. Użytkownicy poszukują takich programów w sieciach typu peer-to-peer i świadomie je pobierają.

Po uruchomieniu pobranego pliku na komputerze ofiary umieszczany jest instalator, który z kolei pobiera koparkę i specjalne narzędzie, które pozwala ukryć ją w systemie. Aplikacji tej towarzyszą zwykle usługi, które odpowiadają za jej automatyczne uruchomienie i konfigurację ustawień.

Na przykład usługi takie mogą wstrzymać działanie programu-koparki, gdy użytkownik uruchomi jakąś popularną grę internetową (koparka wykorzystuje moc obliczeniową karty graficznej, przez co gra może zacząć się ścinać i wzbudzić podejrzenia).

Usługa taka może również próbować wyłączyć produkty antywirusowe, wstrzymać działanie koparki po uruchomieniu narzędzia monitorującego system, a także wznowić jej działanie, gdy użytkownik podejmie próbę jej usunięcia.

Skala problemu

Hakerzy dystrybuują takie aplikacje pod postacią usług. Wykorzystują oni kanały w komunikatorze Telegram poświęcone możliwościom pracy przez internet — czasami wyświetlają reklamy oferujące wersje próbne takich dropperów w celu dystrybucji ukrytej koparki.

Aby oddać skalę tego zjawiska, przytoczę przykład: nasi eksperci wykryli niedawno botnet składający się z około kilku tysięcy komputerów, na których potajemnie zainstalowana była koparka Minergate. Zamiast popularnych bitcoinów wydobywa ona przeważnie mniej znane kryptowaluty, takie jak Monero (XMR) czy Zcash (ZEC), które umożliwiają ukrywanie transakcji oraz właściciela portfela. Według najbardziej powściągliwych szacunków jeden botnet wydobywczy może przynieść zysk na poziomie ponad 30 000 dolarów miesięcznie. Przez botnet, który wykryli nasi eksperci, przepłynęło ponad 200 000 dolarów.

Wspomniany wyżej portfel Monero, którego używają cyberprzestępcy. Jego bieżący kurs wymiany wynosi około 120 dolarów

Jak można się ochronić przed takim zagrożeniem

Kaspersky Internet Security zapewnia ochronę przed szkodliwymi dropperami domyślnie. Wystarczy, aby antywirus przez cały czas działał na komputerze — wówczas szkodliwy program nie będzie mieć szansy na przedostanie się do komputera. Jeśli z jakiegoś powodu program zabezpieczający zostanie wyłączony, a po nabraniu podejrzeń uruchomisz skanowanie ręcznie, Kaspersky Internet Security natychmiast wykryje tego trojana i zapyta, czy go usunąć.

Jak już wcześniej wspomniałem, w przeciwieństwie do dropperów koparki nie są szkodliwymi aplikacjami. Dlatego nasze produkty klasyfikują je jako riskware — jest to oprogramowanie, które jest legalne, ale może zostać użyte do szkodliwych celów (więcej informacji na temat tego, co jeszcze jest zaliczane do tej kategorii, znajduje się tutaj). Ponieważ użytkownik może je instalować dobrowolnie, Kaspersky Internet Security nie blokuje ani nie usuwa takich aplikacji domyślnie.

Jeśli wolisz jednak nie ryzykować i wiesz, że nie będziesz użytkownikiem koparek oraz podobnych programów zaliczanych w kategorii riskware, otwórz ustawienia programu Kaspersky Internet Security, przejdź do sekcji Zagrożenia i wykluczenia i zaznacz pole wyboru Wykrywaj pozostałe programy… Ponadto regularnie skanuj swój komputer: antywirus pomoże Ci zapobiegać instalacji i uruchamianiu wszelkich niechcianych aplikacji.