Onderzoekers van Kaspersky Lab hebben een nieuwe variant van de al wat oudere trojan-familie Rakhni ontdekt. Deze versie scant het systeem om te bepalen hoe het slachtoffer te infecteren. Er wordt gekozen voor het downloaden van een encryptie-payload of een cryptominer. Met name Rusland is doelwit van de campagne.
Voor het verspreiden van de malware maken de cybercriminelen gebruik van spam campagnes via de e-mail, waarin een kwaadaardig Word-document verwerkt is. Als de bijlage geopend wordt, krijgt het slachtoffer het verzoek het document op te slaan en bewerken in te schakelen. Daarna verwacht de malware nog dat het slachtoffer het PDF-bestand in het Word-document opent, om de aanval daadwerkelijk te starten.
De malware toont nog een venster met daarin de mededeling dat het PDF’je niet geopend is. Na het sluiten van dit venster gaan de controles echter van start, zodat de malware kan bepalen of versleuteling of mining plaats moet vinden.
Beslissing
Kaspersky ziet dat de beslissing afhangt van de aanwezigheid van de folder ‘Bitcoin’ in de map ‘AppData’. Indien die folder aanwezig is, dan wordt besloten de bestanden op het systeem te versleutelen. Waarschijnlijk heeft het slachtoffer dan een wallet met een betaalde waarde.
De afwezigheid van de betreffende folder betekent niet per definitie dat het systeem ingezet gaat worden voor cryptomining. De malware kijkt namelijk ook naar het aantal logische cores van de cpu. Alleen bij twee of meer logische cores wordt de miner gedownload, voor cryptoming is rekenkracht immers van belang. Bij de derde optie activeert de malware een wormcomponent, waarbij het zichzelf probeert te kopiëren naar alle computers binnen het lokale netwerk.
Cryptovaluta
Zoals vaker het geval bij cyberaanvallen wordt er bij het minen van cryptovaluta gekozen voor de munt monero (XMR). Deze malware kiest er echter ook voor om een proces in werking te stellen voor het aanmaken van monero original (XMO). Tot slot kan ook dashcoin (DSH) gemined worden, onder de voorwaarde dat het bestand ‘%AppData%KB<8_random_chars>svchost.exe’ aanwezig is.