DirtyMoe Вредоносное ПО

Стремительный рост популярности, вызванный еще более впечатляющим ростом стоимости, достигнутым за счет нескольких различных криптовалют, поставил ранее нишевый сектор в центр внимания общественности. Злоумышленники также заметили эту тенденцию и быстро переориентировались на злоупотребление ею. Были созданы многочисленные бот-сети и вредоносные инструменты, либо они были оснащены возможностями крипто-майнинга. Затем злоумышленники могут захватить ресурсы тысяч скомпрометированных систем и использовать их для добычи монет определенной криптовалюты. Одним из новейших и наиболее сложных вредоносных программ этого типа является вредоносная программа DirtyMoe. До сих пор угроза использовалась против целей в России, но жертвы также были обнаружены в странах Европы и Азии. По данным исследователей информационной безопасности, в настоящее время активно работает около сотни тысяч компьютеров, зараженных DirtyMoe.

Первоначальные версии DirtyMoe отслеживались исследователями информационной безопасности под именем NuggetPhantom, и они часто были нестабильными и легко обнаруживались продуктами кибербезопасности. Однако с тех пор вредоносная программа претерпела значительную эволюцию и теперь представляет собой неуловимую модульную угрозу, которая демонстрирует несколько методов защиты от обнаружения и анализа.

Цепочка атак DirtyMoe начинается с того, что хакеры ищут жертв, уязвимых для нескольких эксплойтов. Одна из них - печально известная уязвимость EternalBlue (CVE-2017-0144), которая появилась в 2017 году, но, по-видимому, осталось достаточно незащищенных систем, чтобы злоумышленники сочли целесообразным продолжать злоупотреблять ею в своих вредоносных операциях. Еще одна уязвимость, которую предпочитает DirtyMoe, - это уязвимость, связанная с повреждением памяти механизма сценариев (CVE-2020-0674), обнаруженная в Internet Explorer. Жертв заманивают с помощью фишинговых писем, содержащих небезопасные URL-адреса.

Модульная структура

Основная характеристика вредоносного ПО DirtyMoe - его модульность. Основной компонент - DirtyMoe Core. Он отвечает за загрузку, обновление, шифрование, создание резервных копий и защиту от угрозы DirtyMoe. Ядру также поручено передать поврежденный код в DirtyMoe Executioner, который затем, как следует из названия, выполнит его. Внедренный код называется объектом или модулем MOE и загружается с сервера управления операцией.

Конкретное поведение вредоносной программы можно дополнительно настроить в соответствии с целями злоумышленников. Киберпреступники могут приказать DirtyMoe загрузить зашифрованную полезную нагрузку, несущую желаемую функциональность, а затем внедрить ее в себя. За пару часов таким образом можно изменить тысячи экземпляров DirtyMoe. Действительно, DirtyMoe можно использовать для запуска DDoS-атак, выполнения операций по крипто-майнингу или доставки дополнительных угрожающих полезных нагрузок, таких как сборщики данных, программы-вымогатели, трояны и многое другое.

Мощные возможности сокрытия и самообороны

DirtyMoe использует VMProtect для защиты своего основного опасного ядра. Он также использует драйвер Windows, который демонстрирует несколько функций, обычно присутствующих в руткитах, таких как служба, запись в реестре и скрытие драйвера. Далее драйвер может быть проинструктирован скрывать определенные файлы на системном томе зараженной машины или внедрять произвольные библиотеки DLL во все вновь созданные процессы. Сетевое общение также достигается с помощью мощной техники. Угроза несет в себе набор жестко заданных DNS-серверов, которые она использует для отправки DNS-запроса к одному жестко заданному домену. Однако для окончательного IP-адреса и порта DirtyMoe использует другую последовательность DNS-запросов. В результате DirtyMoe становится устойчивым к блокировке его окончательного IP-адреса. Также практически нереально заблокировать DNS-запросы к DNS-серверам, таким как Google, Cloudflare и аналогичные сервисы.