Złośliwe oprogramowanie NuggetPhantom
NuggetPhantom Malware to trojan do wydobywania kryptowalut, który przechwytuje zasoby zainfekowanego urządzenia w celu generowania pieniędzy dla atakującego. Jej kampanie koncentrują się na chińskich instytucjach, kładąc nacisk na długoterminową niewidzialność i wytrwałość. Użytkownicy podejrzewający infekcje powinni przeskanować swoje systemy odpowiednimi rozwiązaniami zabezpieczającymi w celu usunięcia złośliwego oprogramowania NuggetPhantom i sprawdzić pod kątem niepożądanych zmian procesów, plików, programów i ustawień.
Tylko bryłka przestępstwa komputerowego
Podobnie jak ostatnia bryłka kurczaka zagubiona w kącie pudełka, dobrze zaprojektowany, skradający się trojan może być w swej istocie podobny do bardziej zauważalnych, podczas gdy wzrok użytkowników prześlizguje się po nim. NuggetPhantom Malware to trojan do wydobywania kryptowalut z dobrze przeanalizowanymi atakami i możliwościami od 2018 r., którego cele są podobne do zagrożeń takich jak Lemon_Duck czy PCASTLE . Jednak jego cyberprzestępca kładzie duży nacisk na pozostawanie niewykrywalnym, co jest typowe dla bardziej profesjonalnych hakerów zorientowanych na Chiny.
Do najważniejszych ataków NuggetPhantom Malware należą wielokrotne wypady przeciwko robotnikom i mieszkańcom w Tianyi College lub Campus, z filozofią „celu najmniej odpornego". Osoby atakujące poszukiwały mniej profesjonalnych konfiguracji systemów, w szczególności takich, które mogą być narażone na atak EternalBlue – dobrze znaną, publiczną lukę w zabezpieczeniach, która wpływa na protokół SMB firmy Microsoft. Ta metoda wejścia wymaga powolności użytkownika w poprawkach bezpieczeństwa dla swojego urządzenia.
Atakujący instaluje złośliwe oprogramowanie NuggetPhantom za pośrednictwem tego tylnego wejścia, z wieloma środkami ostrożności, aby zapobiec wszelkim alarmom z usług bezpieczeństwa. Na przykład, pobrane komponenty są zaszyfrowane i pozostają takie, dopóki program ładujący nie odszyfruje ich dynamicznie w pamięci. Konfiguracja procedury wydobywania kryptowalut – generująca pieniądze dla atakującego za pośrednictwem zasobów zainfekowanego urządzenia – również nie osiągnie wysokich poziomów i nie zaalarmuje użytkownika. Ta filozofia jest sprzeczna z trojanami eksplorującymi na całym świecie, które mogą preferować maksymalizację wydajności w ograniczonym oknie, potencjalnie również powodując uszkodzenie sprzętu lub powiadamiając ofiarę.
Wyjmowanie fantomu z komputera
Złośliwe oprogramowanie NuggetPhantom jest modułowe i może dodawać lub odejmować funkcje zgodnie z preferencjami swojego cyberprzestępcy. Ponieważ NuggetPhantom Malware ma silne powiązania z chińską grupą hakerów, eksperci od złośliwego oprogramowania zalecają, aby członkowie podatnych organizacji w tym regionie byli wyczuleni na wszystkie symptomy i luki w zabezpieczeniach. Stosowanie łatek w celu wyeliminowania luki EternalBlue i niezliczonych ataków, takich jak ta, zapewni większości użytkowników wystarczającą ochronę przed obecnymi wektorami infekcji.
Infekcje NuggetPhantom Malware obejmują funkcję backdoora do kontaktowania się z serwerem C&C atakującego. Chociaż eksperci od złośliwego oprogramowania potwierdzają jego użycie tylko do dostarczania konfiguracji do kopania kryptowalut, grupa ta może dowolnie rozszerzać cel i funkcje złośliwego oprogramowania NuggetPhantom. Odłączenie zainfekowanych urządzeń od Internetu (i wszystkich innych urządzeń) zawsze jest odpowiednim pierwszym krokiem w przeciwdziałaniu tym atakom.
Oprócz aktualizowania oprogramowania użytkownicy mogą również chronić się, instalując produkty zabezpieczające, które wykrywają zagrożenia związane z nielegalną działalnością wydobywczą. Większość klasycznych usług anty-malware powinna usunąć złośliwe oprogramowanie NuggetPhantom, zakładając, że nowe wydania trojanów nie są dostosowane do omijania ich aktualnych baz danych.
Złośliwe oprogramowanie NuggetPhantom to łatwy do wyjaśnienia przypadek przestępców, którzy chcą pieniędzy przy jak najmniejszym hałasie lub uwadze. Nie każdy haker chce być sławny – niektórzy, na przykład operatorzy tego trojana, chcą, aby to wypłata dotarła do celu.
