Čeští uživatelé těží kryptoměny, aniž by o tom tušili

Mezi internetové hrozby, které sledujeme a proti kterým uživatele chráníme, nepatří jen malware. Potenciálně nechtěné aplikace, tzv. PUA, jsou programy či kódy, které nepředstavují přímé ohrožení osobního počítače uživatele, přesto je doporučeno se jim vyhnout.
Tereza Malkusová
Total
0
Sdílení

Právě do této kategorie spadá JS/CoinMiner, škodlivý kód, který používají zločinci pro těžbu kryptoměn s využítím výpočetního výkonu uživatele. Za uplynulý měsíc představovala tato aplikace nejčastější internetovou hrozbou, kterou jsme v České republice zachytili.

Nástup škodlivého kódu JS/CoinMiner byl velmi rychlý a zejména v samém závěru posledního měsíce loňského roku jeho aktivity výrazně zesílily. Za celý prosinec 2017 představoval JS/CoinMiner třetinu všech detekcí kybernetických hrozeb. Hrozba „těžebního“ trojanu ale nepolevila ani po Novém roce, ba právě naopak. První lednové dny dosahoval podíl JS/CoinMiner na detekcích téměř 50 procent.

JS CoinMiner přitom existuje ve dvou variantách

Tou častější je java skript, který běží na pozadí internetových stránek a využívá výpočetního výkonu uživatele k těžení kryptoměn. Ta druhá, méně častá, se chová jako trojan a zneužívá exploitu EternalBlue SMB vyvinutého americkou Národní bezpečnostní agenturou NSA.

Do zařízení proniká prostřednictvím neaktualizovaného operačního systému. Jakmile jej infikuje, stáhne do něj škodlivý skript pro Windows Management Instrumentation (WMI), který standardně používají správci počítačových systémů ke vzdálené správě velkého počtu počítačů. JS/CoinMiner ale zneužívá tento systém pro vytvoření trvalých zadních vrátek a zabezpečení automatického spouštění vždy, když dojde ke spuštění operačního systému.

Doporučené nástroje ochrany jsou kromě spolehlivého bezpečnostního softwaru i pravidelné aktualizace operačního systému Windows. Špionážní software EternalBlue totiž zneužíval zranitelnosti SMBv1, kterou Microsoft opravil krátce po zveřejnění této hrozby. Využívaly jí i další trojany, které loni v létě pomáhaly šířit nechvalně proslulý ransomware WannaCry. Určitě není ani od věci zakázat problémový protokol SMBv1, pokud ho nepoužíváte.

Co je to potenciálně nechtěná aplikace?

Srozumitelnou definici publikovali kolegové v naší servisní zóně. PUA jsou aplikace, které nepředstavují bezprostřední bezpečnostní riziko, ale přesto mohou mít negativní dopad na výkon a odezvu systému. Do systému se nejčastěji instalují po souhlasu uživatele, často jako toolbary či jiné doplňky.

V drtivé většině případů aplikace detekované jako potenciálně nechtěné v počítači nepotřebujete a není doporučena jejich instalace, protože mohou způsobovat: zobrazování nechtěných oken, aktivaci a běh skrytých procesů, zvýšenou spotřebu systémových zdrojů, změnu výsledků vyhledávání či komunikaci se servery vydavatele aplikace.

1 komentář

Komentáře nejsou povoleny.

Novinky z magazínu Dvojklik.cz

Jednou měsíčně vám pošleme to nejbezpečnější čtení. Pohodlně. Do mailu.

Frekvence odesílání 1x měsíčně.
Snadné odhlášení jedním kliknutím.

Další informace o zpracování osobních údajů najdete v našich zásadách ochrany osobních údajů.

Mohlo by vás zajímat