La sfarsitul lunii ianuarie, expertii Kaspersky au observat o crestere importanta in detectarea de aplicatii false care livreaza un malware Monero pe computerele utilizatorilor. Aplicatiile sunt distribuite prin intermediul site-urilor web rau intentionate care pot aparea in rezultatele cautarilor victimei. Aceasta pare a fi o continuare a unei campanii din vara anului 2020, raportata de membrii comunitatii de securitate. Pe atunci, infractorii cibernetici distribuiau fisiere infectate legate de criptominare sub forma unui program de instalare de antivirus.
Al doilea val de atacuri XMRig, in 2021, imita alte cateva aplicatii, cum ar fi sistemele de blocare a anunturilor publicitare AdShield si Netshield, precum si serviciul OpenDNS. Distribuit sub nume legitime, malware-ul imita versiunile Windows ale aplicatiilor mobile. Dupa ce utilizatorul porneste programul, acesta modifica setarile DNS de pe dispozitiv, astfel incat toate domeniile sa fie treaca prin serverele atacatorilor, ceea ce, ulterior, impiedica utilizatorii sa acceseze anumite site-uri antivirus, cum ar fi Malwarebytes.com. Iar la final, livreaza malware-ul open-source de minare XMRig.
Conform datelor furnizate de Kaspersky Security Network, la inceputul lunii februarie 2021 au existat incercari de a instala aplicatii false pe dispozitivele a 21.141 de utilizatori.

Numarul de utilizatori atacati, august 2020 - februarie 2021
La apogeul campaniei, au fost atacati peste 2.500 de utilizatori pe zi, majoritatea victimelor fiind in Rusia si tarile CIS.
Solutiile de securitate ale Kaspersky detecteaza amenintarile descrise cu urmatoarele coduri:
• Trojan.Win64.Patched.netyyk
• Trojan.Win32.DNSChanger.aaox
• Trojan.Win64.Miner.gen
• HEUR:Trojan.Multi.Miner.gen
Pentru mai multe informatii despre campania descoperita, precum si recomandari detaliate despre cum sa stergeti malware-ul in caz de infectie, cititi articolul de pe Securelist.com.