Vivin Botnet

Malware-onderzoekers houden de activiteit van de Vivin Botnet in de gaten sinds 2017 toen dit botnet voor het eerst op de kaart verscheen. De piekactiviteit van de Vivin Botnet was eind 2018. Sindsdien hebben de exploitanten van dit botnet deze campagne verwaarloosd en is het aantal gekaapte systemen afgenomen. Het doel van de makers van het Vivin Botnet is om nietsvermoedende systemen van gebruikers in gevaar te brengen en cryptocurrency-mijnwerkers op hen te planten. Dit zou de exploitanten van de Vivin Botnet in staat stellen om cryptocurrencies te delven met behulp van de computerresources van de gebruikers van wie de systemen zijn gekaapt.

Mijnen de Monero Cryptocurrency

De mining-module die de makers van de Vivin Botnet in de gecompromitteerde systemen injecteren, is de openbaar beschikbare XMRig-cryptocurrency-mijnwerker. De XMRig-mijnwerker is ontworpen om de Monero-cryptocurrency te delven. De XMRig-mijnwerker is enigszins gewijzigd door de operators van de Vivin Botnet om ervoor te zorgen dat deze op de achtergrond wordt uitgevoerd zonder enige verdenking op te wekken. Om de nuttige lading van de Vivin Botnet te verspreiden, hebben de aanvallers ervoor gekozen om illegale toepassingen op populaire torrent-websites te gebruiken als infectievector. Dit is de reden waarom experts op het gebied van cybersecurity gebruikers afraden illegale inhoud te downloaden - het is niet alleen illegaal, maar het kan ook uw systeem beschadigen en de veiligheid van uw gegevens in gevaar brengen.

Persistentie verkrijgen

Na het infecteren van een systeem zou de Vivin Botnet onmiddellijk een verbinding tot stand brengen met de C&C (Command & Control) -server van zijn operators. Dit wordt gedaan zodat de bedreiging het nieuw gecompromitteerde systeem registreert en de benodigde configuraties ophaalt. De operators van de Vivin Botnet gebruiken een paar verschillende Monero-portemonnee-adressen waar ze de gedolven cryptocurrency verzamelen. Ze lijken echter meerdere van deze adressen op Reddit te hebben genoemd. De berichten met betrekking tot de Monero-adressen die in de Vivin Botnet-campagne werden gebruikt, werden gepost door een persoon met de gebruikersnaam 'vivin123', wat de inspiratie vormde voor de naam van het botnet. De Vivin Botnet zou doorzetten op de gecompromitteerde host door een Windows-taak te plannen die de mijnbouwmodule elke 30 minuten zou uitvoeren om ervoor te zorgen dat deze altijd operationeel is.

Cryptocurrency-mijnwerkers blijven een populair middel om illegaal geld te verdienen en cyberboeven worden met de dag sluwer. Daarom moeten gebruikers al hun applicaties up-to-date houden en heel voorzichtig zijn bij het online downloaden van media of software. Zorg er bovendien voor dat u een echte anti-malware tool downloadt en installeert die uw systeem en uw gegevens veilig houdt.