Группа из 42 исследователей компании Palo Alto Networks, отслеживавшая Rar?g в течение нескольких месяцев, сказала, что на сегодняшний день в сети насчитывается около 2500 уникальных образцов данного ПО, подключенных к 160 серверам командования и управления (C&C). Фирма обнаружила более 166 000 случаев заражения, связанных с Rar?g, во всем мире, в основном на Филиппинах, в России и Индонезии.
Интересно, что троянец оснащен рядом функций, например предоставлением пользователям статистики майнинга, настройкой различных нагрузок процессора для работающего майнера, возможностью заражения USB-устройств и возможностью загрузки дополнительных динамических библиотек (dll) в отношении жертвы. В дополнение к добыче монет, Rar?g также использует ряд методов ботнета, в том числе возможность загрузки и выполнения других вредоносных программ, например, распределенных атак отказа в обслуживании (DDoS). Также троян можно обновить до последней версии.
Доступный на различных русскоязычных криминальных подпольных сайтах, он продается всего за 104 доллара по сегодняшним обменным курсам.
«Семейство вредоносных программ Rar?g представляет собой постоянную тенденцию к использованию криптовалютных майнеров со стороны криминальных элементов», – пишут исследователи в своем блоге. «Несмотря на то, что Rar?g не является чем-то невероятно сложным, он обеспечивает легкий вход для многих преступников в ботнет-бизнес по добыче криптовалюты».