Компания по кибербезопасности Check Point Software Technologies обнаружила, что скрытый майнер KingMiner постоянно совершенствуется, чтобы избежать обнаружения и увеличить шансы на более продолжительную работу.
KingMiner основном ориентирован на серверы Microsoft, в частности, на Internet Information Services (IIS) и SQL Server. Чтобы взломать сервер на начальном этапе, вредоносное ПО использует метод грубой силы для подбора паролей.
Получив доступ, KingMiner загружает файл с расширением .zip, однако на самом деле это не ZIP-архив, а XML-файл. Благодаря использованию таких относительно простых механизмов маскировки, KingMiner способен обойти механизмы защиты и не выдать себя. После запуска, KingMiner продолжает принимать все меры, чтобы предотвратить мониторинг его деятельности или отслеживание его создателей.
После успешного извлечения, вредоносное ПО создает новые разделы реестра и запускает уже непосредственно сам майнер XMRig, который майнит Monero.
«Похоже, что KingMiner использует приватный майнинговый пул, чтобы предотвратить какое-либо отслеживание. API пула отключено, и кошелек не используется ни на каких других публичных майнинговых пулах. Мы пока не определили используемые домены, так как они тоже приватные», — говорят исследователи.