Microsoft Threat Intelligence on paljastanut erittäin hienostuneen kryptojacking-kampanjan, joka kohdistuu PC-pelaajiin ja laiteharrastajiin. Operaatiossa käytetään salakavalia tekniikoita järjestelmäresurssien kaappaamiseen kryptovaluutan louhintaan – aivan käyttäjien nenän edestä. Tämä on viimeisin merkki siitä, että hyökkääjät keskittyvät tehokkaisiin kuluttajalaitteisiin datakeskusten sijaan.
Mitä Microsoft löysi
Kampanja erottuu viimeistellyllä tasollaan. Haittaohjelma välttää havaitsemista matkimalla laillisia prosesseja ja rajoittamalla omaa toimintaansa, kun kone on aktiivisessa käytössä. Microsoftin tiimin mukaan se on suunniteltu erityisesti hyödyntämään pelikoneissa ja harrastajien kokoamissa tietokoneissa olevia huippuluokan näytönohjaimia ja prosessoreita. Hyökkääjät ovat selvästi panostaneet yleisten virustorjunta-algoritmien ja käyttäytymisen valvontatyökalujen välttämiseen.
Yritys ei ole vielä nimennyt haittaohjelmaperhettä tai julkaissut teknistä erittelyä. Mutta alkuperäinen paljastus – yhden rivin yhteenveto uhkatiedustelun raportissa – viittaa siihen, että Microsoft pitää tätä operaatiota tarpeeksi vakavana varoittaakseen julkisesti. Ajoitus ei ole ihanteellinen pelaajille, jotka jo kärsivät laitteistopulasta ja korkeista komponenttihinnoista.
Keitä kohteena
PC-pelaajat ja laiteharrastajat ovat ensisijaisia kohteita. Tämä on järkevää: nykyaikainen pelitietokone voi vetää yhtä paljon tehoa ja laskentatehoa kuin pieni louhintafarmi. Hyökkääjät haluavat tuon hash-nopeuden ilman, että he maksavat sähköstä tai jäähdytyksestä. Kampanja näyttää leviävän rikottujen pelien, modattujen asennusohjelmien ja torrentilla ladattujen ohjelmistojen kautta – sellaisia latauksia, joita pelaajat joskus hankkivat virallisten kauppojen ulkopuolelta.
Microsoft ei ole kertonut, kuinka monta konetta on saastunut tai mitkä alueet ovat kovimmin kärsineet. Mutta kohdistus on tarkkaa. Tämä ei ole satunnainen kryptojacking, joka iskee satunnaisille verkkosivuille. Se on keskitetty operaatio, joka tähtää ihmisiin, joilla on laitteistoa, joka tekee louhinnasta kannattavaa.
Laajempi uhkakuva
Kryptojacking on ollut olemassa vuosia, mutta se on kehittynyt. Varhaiset versiot olivat äänekkäitä – ne nostivat suorittimen käyttöasteen 100 prosenttiin ja käynnistivät tuulettimet välittömästi. Nykyaikaiset kampanjat, kuten tämä, ovat hiljaisempia. Ne ovat käyttämättöminä, kun pelaat, ja kiihtyvät, kun poistut koneen ääreltä. Jotkut jopa tarkistavat aktiivista hiiren ja näppäimistön käyttöä pysyäkseen piilossa.
Microsoftin löytö osoittaa, että uhkatoimijat pitävät kryptojackingia edelleen luotettavana tulonlähteenä. Kryptohintojen vaihdellessa ja louhinnan vaikeuden kasvaessa toisen laskentatehon varastaminen on halvempaa kuin oman laitteiston ostaminen. Kampanja paljastaa myös aukon: kuluttajien virustorjuntatyökalut eivät usein havaitse hyvin kirjoitettua kryptojacking-haittaohjelmaa, koska se ei käyttäydy kuin kiristysohjelma tai troijalainen.
Microsoft ei ole vielä paljastanut, onko kampanja estetty tai onko erityisiä kompromissi-indikaattoreita julkaistu. Pelaajien ja harrastajien tulisi olla varovaisia, mistä he lataavat ohjelmistoja – ja ehkä tarkistaa Tehtävienhallintansa useammin.
