Vivin Botnet

Haittaohjelmien tutkijat ovat seuranneet Vivin Botnetin toimintaa vuodesta 2017 lähtien, kun tämä bottiverkko ilmestyi ensimmäisen kerran kartalle. Vivin Botnetin huippuaktiivisuus oli vuoden 2018 lopulla. Siitä lähtien tämän bottiverkon operaattorit ovat laiminlyöneet tämän kampanjan, ja kaapattujen järjestelmien lukumäärä on vähentynyt. Vivin Botnetin luojat pyrkivät vaarantamaan häiriöttömien käyttäjien järjestelmät ja istuttamaan salakirjoittajan salakirjoittajat. Tämän ansiosta Vivin Botnet -operaattorit voivat kaivata salaustekniikat käyttämällä käyttäjien laskentaresursseja, joiden järjestelmät on kaapattu.

Kaivostaa Monero-kryptovaluutan

Kaivosmoduuli, jonka Vivin Botnetin luojat injektoivat vaarannetuissa järjestelmissä, on julkisesti saatavilla oleva XMRig-salauksen valuuttakaivos. XMRig -kaivostyökalu on suunniteltu kaivaamaan Monero-salauksen valuutta. Vivin Botnet -operaattorit ovat muuttaneet XMRig-kaivostyökalua hiukan varmistaakseen, että se toimii taustalla aiheuttamatta epäilyksiä. Levittääkseen Vivin Botnetin hyötykuormaa hyökkääjät ovat päättäneet hyödyntää piratistisovelluksia suosituilla torrenting-verkkosivustoilla tartuntavektorina. Siksi verkkoturvallisuuden asiantuntijat neuvovat käyttäjiä laittoman sisällön lataamisesta - paitsi että se on laitonta, mutta se voi myös vahingoittaa järjestelmääsi ja vaarantaa tietosi turvallisuuden.

Pysyvyyden lisääminen

Järjestelmän tartuttamisen jälkeen Vivin Botnet luo välittömästi yhteyden operaattorien C&C (Command & Control) -palvelimeen. Tämä tehdään niin, että uhka rekisteröi äskettäin vaarannetun järjestelmän ja hakee tarvittavat kokoonpanot. Vivin Botnet -operaattorit käyttävät muutamia erilaisia Monero-lompakkoosoitteita, joissa he keräävät louhitun kryptovaluutan. Ne näyttävät kuitenkin mainittaneen useita näistä osoitteista Redditissä. Vivin Botnet -kampanjassa käytettyjä Monero-osoitteita koskevat viestit lähetti henkilö tunnuksella vivin123, mikä inspiroi bottiverkon nimeä. Vivin Botnet saa jatkuvuuden vaarannetulle isännälle ajoittamalla Windows-tehtävän, joka suorittaisi kaivosmoduulin 30 minuutin välein varmistaakseen, että se on aina toiminnassa.

Cryptocurrency-kaivostyöläiset ovat edelleen suosittu tapa tehdä käteistä rahaa laittomasti, ja kyberhuijarit ovat tulossa päivältä taitavampia. Tämän vuoksi käyttäjien on pidettävä kaikki sovelluksensa ajan tasalla ja oltava erittäin varovainen ladatessasi mediaa tai ohjelmistoa verkossa. Varmista lisäksi, että olet ladannut ja asentanut aito haittaohjelmien torjuntatyökalu, joka pitää järjestelmän turvassa ja tietosi.