Исследователи из ASEC (AhnLab Security Emergency response Center) обнаружили ранее неизвестный вредоносный бэкдор, отличающийся нестандартным способом связи с командным сервером — через пиринговую сеть Bitmessage. Вместе с ним злоумышленники разворачивают майнер криптовалюты Moneroна взломанных серверах, что позволяет им одновременно контролировать систему и получать прибыль от майнинга.

Bitmessage — это защищённый P2P-протокол обмена сообщениями, ориентированный на анонимность и децентрализацию. В отличие от традиционного HTTP-трафика и IP-подключений, он шифрует всё содержимое и затрудняет отслеживание как отправителей, так и получателей. Эта особенность активно используется злоумышленниками: бэкдор внедряет команды C2 (command and control) в зашифрованные сообщения, маскируя их под обычную активность пользователей сети Bitmessage.

Для реализации связи злоумышленники использовали Python-библиотеку PyBitmessage, которая обрабатывает сообщения в формате, схожем с легитимным веб-трафиком. Это усложняет задачу системам кибербезопасности — вредоносные команды сложно отличить от нормальной сетевой активности.

Атака начинается с доставки зашифрованной полезной нагрузки. После активации вредоносный код расшифровывается с помощью XOR и устанавливает два компонента: бэкдор и криптомайнер. Последний использует три ключевых файла —
,
и
— которые размещаются во временной директории
.

Сам бэкдор реализован на PowerShell и запускает сервер, прослушивающий локальный порт 8442, куда перенаправляются POST-запросы, обрабатываемые PyBitmessage. При установке компоненты пытаются загрузиться с GitHub-репозитория, но если это невозможно — используется альтернативный источник: сайт-хостинг
.

Эксперты предупреждают, что из-за использования децентрализованной инфраструктуры обнаружение и блокировка такого вредоносного ПО требует более сложных и поведенческих методов анализа.