< >

На российских форумах распространяется мод для GTA с вшитым майнером Monero

Любитель компьютерных игр и криптовалют распространяет среди пользователей тематических российских форумов мод для Grand Theft Auto (GTA) с вшитым майнером Monero. К такому заключению пришли исследователи компании Minerva.

59e645434991c30001f04e2f_3.png
Источник: Minerva Labs

Злоумышленник использует модифицированную версию полноценного майнера с открытым кодом XMRig под названием WaterMiner. Сооснователь Minerva Labs Омри Моял считает, что, скорее всего, автор модификации игры и майнера – один и тот же человек, скрывающийся под ником «Martin Opc0d3r». Моял заявил, что взломщик оставил в своём коде «крошки», которые позволяют связать его с обеими модификациями. Он отмечает, что для взлома игр и написания подобных программ требуются одинаковые знания.

Чтобы скрыть майнер от пользователей, Opc0d3r «научил» его автоматически выключаться, когда пользователь открывает диспетчер задач Windows или другое программное обеспечение, позволяющее определить, какой процесс тормозит работу компьютера.

Моял сообщает, что зловредная модификация для GTA носит название «Arbuz». Таким образом, выбор названия WaterMiner явно не случаен, поскольку в английском языке арбуз обозначается словом «watermelon».

Мод для GTA был загружен в виде RAR-архива на сервис Яндекс.Диск. В архиве содержится файл «pawncc.exe», который запускает процесс скачки WaterMiner. Кроме того, исследователям Minerva удалось найти более раннюю версию того же майнера с комментариями автора.

59e650032c988e00010a81cc_17.png
Источник: Minerva Labs

59e6460c4991c30001f04e5f_5.png
Источник: Minerva Labs


После активации майнер использует TCP-порт 45560 для связи с майнинг-пулом, который собирает вычислительные мощности всех инфицированных компьютеров и использует их для майнинга анонимной криптовалюты Monero.

Исследователи Minerva предположили, что Martin Opc0d3r ранее пытался распространять другую версию майнера под названием NiceHash. Также они пришли к выводу, что его могут звать Антон, найдя в социальной сети ВКонтакте страницу 0pc0d3r. Тот же человек распространял игровые моды на сайте.

59e6502c488e26000194628d_19.png
Источник: Minerva Labs
Комментарии 0
Вы должны войти на сайт, чтобы разместить свой комментарий.