Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Интернет-кафе в Южной Корее оказались заражены майнером T-Rex (http://txgate.io:443/showthread.php?t=51300873)

Artifact 06-03-2025 12:59 PM
<div id="post_message_795129">

Специалисты AhnLab (ASEC) <a href="https://asec.ahnlab.com/en/88245/" target="_blank">обнаружили </a>массовое заражение корейских интернет-кафе майнером T-Rex. Предполагается, что стоящий за этой кампанией злоумышленник активен с 2022 года, а атаки на интернет-кафе начались еще во второй половине 2024 года.<br/>
<br/>
Исследователи сообщают, что пока неизвестно, как хакер исходно проникает в сети жертв, но большинство атак было обнаружено в системах, где установлены программы управления интернет-кафе.<br/>
<br/>
Для получения контроля над скомпрометированными системами атакующий использовал малварь Gh0st RAT. Большинство выявленных в сетях интернет-кафе вредоносов представляли собой либо сам Gh0st RAT, либо дропперы для его установки. Также злоумышленник использовал малварь для «патчинга» памяти ПО для управления интернет-кафе. А в конечном итоге на машинах развертывался майнер T-Rex.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/516775/ZCyedgEBTlbAX6fHNGxwcNKYarPoHjDX.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Общая схема атаки

</td>
</tr>
</table>
</div>В AhnLab объясняют, что для эффективного управления и сбора платы с клиентов (в зависимости от времени использования) интернет-кафе нуждаются в специальном софте. Такие программы автоматически фиксируют время входа в систему при занятии места, рассчитывают плату за пользование интернетом и фиксируют определенные события, что значительно упрощает работу операторов.<br/>
<br/>
Выявленные недавно атаки в основном были нацелены именно на системы, в которых установлено неназванное корейское ПО для управления интернет-кафе. Однако исследователи подчеркивают, что первоначальный вектор атаки все еще не установлен.<br/>
<br/>
Эти атаки начались еще в 2024 году и, вероятно, в настоящее время производитель софта для управления интернет-кафе уже обнаружил их и принял меры. По словам экспертов, на сайте этой компании указано, что она ведет специальный список для блокировки процессов вредоносного ПО.<br/>
<br/>
Упомянутый Gh0st RAT представляет собой малварь для обеспечения удаленного управления, созданную китайской командой C. Rufus Security Team. Поскольку исходный код вредоноса находится в открытом доступе, преступники используют его в качестве образца для создания собственных штаммов, которые регулярно используются в атаках. В основном Gh0st RAT используется злоумышленниками, говорящими на китайском языке.<br/>
<br/>
Вариант Gh0st RAT, использованный в атаках на интернет-кафе, обладал не только основными функциями для удаленного управления, но также мог управлять файлами и процессами, собирать информацию о зараженной системе, выполнять роль кейлоггера и сделать снимки экрана.<br/>
<br/>
Что касается «патчинга» зараженных машин, отдельный вредонос ищет среди запущенных процессов конкретный процесс программы управления интернет-кафе. Затем он считывает структуру памяти и сравнивает ее с имеющимся образцом. Если совпадение найдено, память «патчится», как показано на иллюстрации ниже.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/516775/SAAjjdzEJqBjTel2ZcXxPMfOT0WbChjM.jpg"/><br/>
<br/>
В итоге имя файла WAV изменяется на cmd.exe. Так как в %ProgramFiles% (x86)\********\**\sound\cmd.exe располагается дроппер Gh0st RAT, исследователи полагают, что все это нужно для установки малвари при выполнении определенных действий, а также для закрепления в зараженной системе.<br/>
<br/>
В отличие от других злоумышленников, которые обычно используют майнер XMRig для добычи Monero, в этом случае атакующий предпочел майнер T-Rex. Предполагается, что это связано с тем, что ПК в интернет-кафе и компьютерных клубах обычно оснащены хорошими видеокартами для работы высокопроизводительных игр. T-Rex использует GPU и чаще всего применяется для добычи Ethereum и RavenCoin.<br/>
<br/>
Неизвестно, кто именно стоит за этими атаками, однако эксперты уверены, что основной целью злоумышленника является майнинг криптовалюты. Дело в том, что в ряде случаев на зараженные устройства, помимо T-Rex, также устанавливался майнер Phoenix.<br/>
<br/>
<a href="https://xakep.ru/2025/06/03/miner-t-rex/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 10:15 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.