idNSA.id - Pelaku kejahatan berusaha mengambil keuntungan dari ketertarikan pada film 'Spider-Man: No Way Home' yang baru untuk menyebarkan Cryptominer Monero.
Peneliti ReasonLabs melihat situs web torrent Rusia menyebarkan cryptominer Monero yang menyamar sebagai film Spider-Man: No Way Home. Malware tidak ada di Virus Total saat ini, ditulis dalam .net dan kodenya tidak ditandatangani.
"Dalam kasus ini, kami menghadapi seseorang yang telah menempatkan penambang Monero dalam unduhan torrent dari film baru Spider-Man: No Way Home." membaca analisis yang diterbitkan oleh ReasonLabs. “File tersebut mengidentifikasi dirinya sebagai “spiderman_net_putidomoi.torrent.exe,” yang diterjemahkan dari bahasa Rusia menjadi “spiderman_no_wayhome.torrent.exe.” Asal file kemungkinan besar dari situs web torrent Rusia.”
Malware menggunakan nama 'sah' untuk file dan proses yang dibuatnya untuk menghindari deteksi.
Saat pertama kali dijalankan, kode berbahaya akan mematikan proses apa pun yang memiliki nama komponennya untuk memastikan hanya satu instance yang berjalan pada saat tertentu.
Para ahli memperhatikan bahwa untuk menghindari deteksi, Svchost disuntikkan oleh proses utama dengan konten sumber daya zip. Sumber daya berisi informasi untuk aktivitas penambangan, para peneliti mengidentifikasi versi penambang sumber terbuka XMrig yang dikompilasi sendiri yang berisi informasi seperti nama pengguna, kata sandi, algoritme, dan kumpulan mining.
Penambang tidak menerapkan kemampuan mencuri data, namun menyalahgunakan sumber daya komputasi dari sistem yang terinfeksi untuk menambang cryptocurrency yang menyebabkan penurunan drastis dalam kinerja sistem.
Malware memperoleh kegigihan dengan menggunakan kunci CurrentVersion\Run registri atau tugas terjadwal bernama "layanan" pada setiap masuk.
Para peneliti tidak dapat menentukan jumlah sistem yang terinfeksi, bagaimanapun mereka percaya bahwa itu tidak sedikit karena popularitas film.
“Kami menyarankan untuk berhati-hati saat mengunduh konten apa pun dari sumber tidak resmi – apakah itu dokumen dalam email dari pengirim yang tidak dikenal, program yang diretas dari portal unduhan mencurigakan, atau file dari unduhan torrent.” menyimpulkan analisis yang juga mencakup Indikator Kompromi dan aturan Yara.
Para ahli juga merekomendasikan untuk memeriksa apakah ekstensi file cocok dengan file yang mereka harapkan, dalam hal ini, file tersebut adalah .EXE dan bukan file film yang seharusnya dalam format ".mp4".
