Валентин Холмогоров - PRO вирусы. Версия 4.0

Собственно, троянцы-майнеры, заразив компьютер, и нагружают его под завязку подобными расчетами, заставляя систему поминутно «тормозить» и «зависать». Ну, а все добытые таким образом деньги отправляются, естественно, не владельцу инфицированного устройства, а жулику-вирусописателю.

Существуют троянцы-майнеры не только для ОС Windows, но также для macOS и Google Android. И хотя на первый взгляд они и не представляют серьезной опасности для инфицированной системы, деятельность майнеров заметно замедляет скорость работы компьютера или мобильного устройства, а также вызывает перегрев процессора или чипа видеокарты (существует категория майнеров, использующих для вычислений мощности графических процессоров современных видеоадаптеров). В случае физических неполадок в системе охлаждения компьютера это может привести к фатальным последствиям вплоть до выхода из строя соответствующего оборудования.

Во второй половине 2017 и в 2018 году майнеры приобрели особую популярность у вирусописателей, заметно потеснив на подпольном рынке даже такие опасные вредоносные программы, как шифровальщики. Расширился и ассортимент используемых киберпреступниками технологий: появились майнеры, реализованные с использованием скриптовых языков, таких как JavaScript. Достаточно внедрить подобный сценарий в веб-страницу, и при открытии ее в браузере компьютер пользователя начинает автоматически добывать криптовалюту, расходуя на это свои аппаратные ресурсы. А если запустить скрипт в свернутом, или даже в скрытом окне, жертва с высокой долей вероятности не заметит ничего подозрительного. Подобные сценарии активно внедрялись в веб-страницы не только самими владельцами сайтов. Чаще появление таких скриптов становилось результатом взлома интернет-ресурса. Причем задачу взломщикам зачастую облегчали сами администраторы сайтов, устанавливая в системе управления контентом (CMS, Content Management System) бесплатные либо видоизмененные коммерческие шаблоны оформления, а также компоненты, содержавшие различные «закладки». Были зафиксированы случаи распространения скриптов-майнеров и через автоматизированные рекламные сети, позволяющие обмениваться объявлениями и ссылками. А в последние годы стали широко известны троянцы-майнеры, атакующие Интернет вещей — различные «умные» устройства вроде сетевых хранилищ, телеприставок и роутеров. Здесь вирусописатели чувствуют себя вольготно: вряд ли простому пользователю придет в голову, что его кофеварка в свободное от основной работы время трудится на злоумышленников, добывая им криптовалюту. Троянцам для интернета вещей посвящена пятая глава.

Клиперы

Эта разновидность вредоносных программ, известная довольно давно, но получившая «вторую жизнь» в эпоху популярности криптовалют и электронных платежных систем, не имеет никакого отношения к парусным кораблям. Свое название троянцы-клиперы получили от английского термина « clipboard » — «буфер обмена». Собственно, в этом наименовании и раскрывается их предназначение: клиперы отслеживают состояние буфера обмена и похищают скопированную туда информацию. В частности, они могут подменять помещенные в буфер обмена имена кошельков криптовалют и платежных систем на данные, заранее подготовленные злоумышленниками. В результате этого жертва, желающая перевести кому-нибудь денежные средства, сама того не подозревая отправляет платеж напрямую киберпреступникам. К слову, в 2018 году специалистами по информационный безопасности был обнаружен первый троянец-клипер для мобильной платформы Android.

Стилеры

Троянцев-стилеров (от англ. Stealer — «вор») можно отнести к категории шпионского ПО. Как это следует из их наименования, стилеры предназначены для кражи на инфицированном компьютере различной информации. Прежде всего, это файлы cookies, реквизиты банковских карт, сохраненные пароли и данные для автоматического заполнения форм в браузерах, а также файлы, в которых хранится информация учетных записей от различных приложений — мессенджеров, FTP-клиентов, клиентов электронной почты. Многие стилеры целенаправленно передают злоумышленникам все электронные документы, хранящиеся на Рабочем столе Windows.

В 2017–2018 годах высокую популярность среди вирусописателей обрели стилеры, ворующие файлы из клиентов игровой платформы Steam. Steam — это система цифровой дистрибуции, созданная компанией Valve Corporation. Она предназначена для распространения компьютерных игр и программ. Пользователи этой платформы имеют доступ к личному кабинету, в котором собрана информация обо всех приобретенных ими ранее играх и программах. Помимо этого они могут совершать покупки в специальном магазине Steam, где предлагается различный цифровой контент, а также продавать и обмениваться игровыми предметами с другими пользователями.

Ряд современных многопользовательских электронных игр представляет собой настоящие виртуальные миры с собственными социальными и экономическими законами. В таких вселенных игрок может приобретать различные виртуальные предметы и ресурсы — например доспехи, магические заклинания или дополнительную броню, — которые меняют внешний вид игрока или дают ему ряд тактических преимуществ перед другими игроками. Причем многие подобные артефакты можно купить за реальные деньги (на чем и зарабатывают некоторые издатели компьютерных игр, делая саму игру бесплатной), а ставшие ненужными игровые предметы — продать другим пользователям.

Именно поэтому игровые предметы имеют среди игроков высокую ценность: некоторые артефакты можно продать за сотни и тысячи вполне реальных американских долларов. Сегодня существует обширный подпольный рынок купли-продажи краденых игровых предметов, большая часть которых была похищена с использованием троянцев.

Так, летом 2014 года у пользователей игры CS: GO стал таинственным образом пропадать игровой инвентарь, о чем они писали встревоженные сообщения на Reddit. Непосредственно перед самим инцидентом игрок получал в чате Steam сообщение от другого пользователя с предложением обменяться виртуальными предметами. Послание содержало скриншот предлагаемого к обмену инвентаря, при этом сама сделка выглядела достаточно выгодной. После успешного завершения операции пользователь заходил в игру и с удивлением обнаруживал, что часть его наиболее ценного имущества исчезла в неизвестном направлении.

Благодаря проведенному аналитиками расследованию удалось установить первопричину «трагедии». Ею оказался троян SteamBurglar. Пока ничего не подозревающий игрок разглядывал в окне чата дорогой предмет, предложенный ему для обмена на какую-нибудь посредственную безделушку, троянец находил в памяти компьютера процесс Steam и вытаскивал из него информацию об имеющейся в арсенале пользователя амуниции. Затем по этому списку выполнялся поиск с использованием ключевых слов rare, mythical, immortal, legendary, arcana и key (список ключевиков можно настраивать в админнистративной панели трояна) — таким образом SteamBurglar выбирал наиболее ценный инвентарь. Найденное барахло троян тут же выставлял на продажу через Steam по весьма выгодной цене. Вырученные деньги поступали на счет вирусописателя.