DirtyMoe skadlig programvara
Den meteoriska ökningen i popularitet, som drivs av de ännu mer imponerande värdeökningarna som gjorts av flera olika kryptovalutor, satte den tidigare nischsektorn direkt in i offentligt rampljus. Hotaktörer märkte också trenden och flyttade snabbt sin verksamhet mot att missbruka den. Många botnät och skadliga verktyg skapades antingen eller utrustades med kryptogruvningsfunktioner. Hotaktörerna kan sedan kapa resurser från tusentals komprometterade system och använda dem för att bryta mynt från en specifik kryptovaluta. Ett av de senaste och mest sofistikerade malwareverktygen av denna typ är DirtyMoe-skadlig programvara. Hittills har hotet utnyttjats mot mål i Ryssland men offer har också upptäckts i europeiska och asiatiska länder. Enligt infosec-forskare är för närvarande nära hundra tusen maskiner smittade med DirtyMoe aktiva.
De första versionerna av DirtyMoe spårades av infosec-forskare under namnet NuggetPhantom och de var ofta instabila och fångades lätt av cybersäkerhetsprodukter. Sedan dess har dock skadlig programvara genomgått en betydande utveckling och är nu ett svårt, modulärt hot som uppvisar flera antidetekterings- och anti-analystekniker.
DirtyMoes attackkedja börjar med att hackarna letar efter offer som är utsatta för flera exploater. En av dem är den ökända EternalBlue (CVE-2017-0144) sårbarheten som uppstod 2017, men tydligen finns det tillräckligt med osäkra system kvar för att göra hotaktörer det värt att fortsätta att missbruka det i sin skadliga verksamhet. Ett annat av de fördelar som DirtyMoe gynnar är säkerhetsproblemet i Scripting Engine Memory Corruption (CVE-2020-0674) som finns i Internet Explorer. Offren lockas via phishing-e-postmeddelanden som innehåller osäkra webbadresser.
Modulär struktur
Huvudegenskapen för DirtyMoe-skadlig programvara är dess modulering. Huvudkomponenten är DirtyMoe Core. Det ansvarar för att ladda ner, uppdatera, kryptera, skapa säkerhetskopior och skydda DirtyMoe-hotet. Core har också till uppgift att mata en skadad kod till DirtyMoe Executioner, som sedan, som namnet antyder, kommer att köra den. Den injicerade koden heter antingen MOE-objekt eller modul och hämtas från kommandot-och-kontrollservern för operationen.
Det specifika beteendet för hot mot skadlig programvara kan vidare justeras för att passa målen för hotaktörerna. Cyberkriminella kan beordra DirtyMoe att ladda ner en krypterad nyttolast med den önskade funktionaliteten och sedan injicera den i sig själv. På ett par timmar kan tusentals instanser av DirtyMoe ändras på detta sätt. DirtyMoe kan faktiskt användas för att starta DDoS-attacker, utföra kryptogruvaktiviteter eller leverera ytterligare hotfulla nyttolaster, såsom datainsamlare, ransomware, trojaner och mer.
Förmåga att gömma sig och självförsvara
DirtyMoe använder VMProtect för att skydda sin viktigaste hotkärna. Den använder också en Windows-drivrutin som uppvisar flera funktioner som vanligtvis finns i rootkits som service, registerinmatning och döljande av drivrutiner. Drivrutinen kan vidare instrueras att dölja specifika filer på systemvolymen på den infekterade maskinen eller injicera godtyckliga DLL-filer i alla nyskapade processer. Nätverkskommunikation uppnås också genom en kraftfull teknik. Hotet innehåller en uppsättning hårdkodade DNS-servrar som den använder för att göra en DNS-begäran till en hårdkodad domän. För den slutliga IP-adressen och porten använder DirtyMoe dock en annan sekvens av DNS-förfrågningar. Som ett resultat blir DirtyMoe motståndskraftig mot att dess slutliga IP blockeras. Det är också praktiskt taget orealistiskt att blockera DNS-förfrågningar till DNS-servrar som Google, Cloudflare och liknande tjänster.
