Złośliwe oprogramowanie DirtyMoe

Błyskawiczny wzrost popularności, wywołany jeszcze bardziej imponującymi wzrostami wartości kilku różnych kryptowalut, sprawił, że wcześniej niszowy sektor znalazł się w centrum uwagi opinii publicznej. Zagrożenia również zauważyły ten trend i szybko przestawiły swoje działania w kierunku nadużywania go. Powstały liczne botnety i narzędzia do złośliwego oprogramowania lub zostały wyposażone w możliwości wydobywania kryptowalut. Przestępcy mogą następnie przejąć zasoby tysięcy zhakowanych systemów i wykorzystać je do wydobywania monet określonej kryptowaluty. Jednym z najnowszych i najbardziej wyrafinowanych narzędzi tego typu jest złośliwe oprogramowanie DirtyMoe. Do tej pory zagrożenie było wykorzystywane przeciwko celom w Rosji, ale ofiary wykryto również w krajach europejskich i azjatyckich. Według badaczy infosec, blisko sto tysięcy maszyn zainfekowanych DirtyMoe jest obecnie aktywnych.

Początkowe wersje DirtyMoe były śledzone przez badaczy infosec pod nazwą NuggetPhantom i często były niestabilne i łatwo przechwytywane przez produkty cyberbezpieczeństwa. Od tego czasu jednak złośliwe oprogramowanie przeszło znaczną ewolucję i jest obecnie nieuchwytnym, modułowym zagrożeniem, które wykorzystuje wiele technik antywykrywania i antyanalizy.

Łańcuch ataków DirtyMoe zaczyna się od hakerów poszukujących ofiar narażonych na kilka exploitów. Jednym z nich jest niesławna luka w zabezpieczeniach EternalBlue (CVE-2017-0144), która pojawiła się w 2017 r., ale najwyraźniej pozostało wystarczająco dużo niezabezpieczonych systemów, aby cyberprzestępcy uznali za opłacalne dalsze wykorzystywanie jej w swoich szkodliwych operacjach. Innym z exploitów preferowanych przez DirtyMoe jest luka w zabezpieczeniach silnika skryptów związana z uszkodzeniem pamięci (CVE-2020-0674) znaleziona w Internet Explorerze. Ofiary są zwabiane za pomocą wiadomości phishingowych zawierających niebezpieczne adresy URL.

Struktura modułowa

Główną cechą złośliwego oprogramowania DirtyMoe jest jego modułowość. Głównym składnikiem jest DirtyMoe Core. Odpowiada za pobieranie, aktualizowanie, szyfrowanie, tworzenie kopii zapasowych i ochronę zagrożenia DirtyMoe. Zadaniem rdzenia jest również dostarczenie uszkodzonego kodu do DirtyMoe Executioner, który następnie, jak sama nazwa wskazuje, wykona go. Wstrzyknięty kod nosi nazwę Obiekt lub Moduł MOE i jest pobierany z serwera dowodzenia i kontroli operacji.

Konkretne zachowanie zagrożenia złośliwym oprogramowaniem można dalej dostosować, aby dopasować je do celów cyberprzestępców. Cyberprzestępcy mogą nakazać DirtyMoe pobranie zaszyfrowanego ładunku zawierającego żądaną funkcjonalność, a następnie wstrzyknięcie go do siebie. W ciągu kilku godzin można w ten sposób zmodyfikować tysiące instancji DirtyMoe. Rzeczywiście, DirtyMoe może być używany do przeprowadzania ataków DDoS, wykonywania działań związanych z wydobywaniem kryptowalut lub dostarczania dodatkowych zagrażających ładunków, takich jak kolektory danych, oprogramowanie ransomware, trojany i inne.

Potężne możliwości ukrywania się i samoobrony

DirtyMoe wykorzystuje VMProtect do ochrony swojego głównego, groźnego rdzenia. Wykorzystuje również sterownik Windows, który wykazuje kilka funkcji zwykle spotykanych w rootkitach, takich jak obsługa, wpis do rejestru i ukrywanie sterowników. Sterownik może ponadto zostać poinstruowany, aby ukryć określone pliki w woluminie systemowym zainfekowanej maszyny lub wstrzyknąć dowolne biblioteki DLL do nowo utworzonych procesów. Komunikacja sieciowa jest również osiągana dzięki potężnej technice. Zagrożenie zawiera zestaw zakodowanych na stałe serwerów DNS, których używa do wysyłania żądań DNS do jednej zakodowanej na stałe domeny. Jednak dla końcowego adresu IP i portu DirtyMoe używa innej sekwencji żądań DNS. W rezultacie DirtyMoe staje się odporny na blokowanie swojego końcowego adresu IP. Praktycznie nierealne jest również blokowanie żądań DNS do serwerów DNS, takich jak Google, Cloudflare i podobne usługi.