Скрытый майнер Monero обнаружили в аудиофайлах формата wav
Разработчики антивирусных программ из BlackBerry Cylance обнаружили скрытый майнер Monero в неожиданном месте. Он прятался в аудиофайле популярного формата .wav.
Майнер интегрировали в один из файлов и если ничего не подозревающий пользователь скачивал пакет аудиозаписей, он даже не сразу активировал вредонос. Некоторые файлы воспроизводили музыку, другие генерировали «белый шум».
В файл зашивали код, сопряжённый с майнером XMRig. Он позволял использовать мощности центрального процессора для добычи XMR (Monero).
Также можно было найти код Metasploit, который генерирует оболочку для обратной связи и удалённого доступа в пределах сети жертвы.
Таким образом, злоумышленники сумели применить метод стеганографии и выполнить код из безобидного на первый взгляд файла. Теперь формат контейнера по сути не играет роли, ведь интегрировать в него можно любой вредонос, не нарушающий его целостность. Если структура и оболочка остаются неповреждёнными, то опасность сохраняется.