Programari maliciós GhostEngine
S'ha descobert una campanya d'atac de mineria criptogràfica amb el nom en codi REF4578 desplegant una càrrega útil amenaçadora anomenada GhostEngine. El programari maliciós és capaç d'explotar controladors vulnerables per desactivar els productes de seguretat i desplegar un miner XMRig . Els investigadors han subratllat la sofisticació inusual d'aquests atacs de criptomineria en publicar informes amb les seves troballes. Tanmateix, fins ara, els experts no han atribuït l'activitat a cap actor d'amenaça conegut ni han revelat cap detall sobre objectius/víctimes, de manera que l'origen i l'abast de la campanya segueixen sent desconeguts.
Taula de continguts
El programari maliciós GhostEngine comença el seu atac fent-se passar per un fitxer legítim
El mètode inicial d'incompliment del servidor encara no està clar, però l'atac comença amb l'execució d'un fitxer anomenat "Tiworker.exe", que es presenta com un fitxer legítim de Windows. Aquest executable serveix com a càrrega útil inicial per a GhostEngine, un script de PowerShell dissenyat per descarregar diversos mòduls per a diferents activitats nocives al dispositiu infectat.
En executar-se, Tiworker.exe baixa un script de PowerShell anomenat "get.png" del servidor de comandaments i control (C2) de l'atacant, actuant com a carregador principal per a GhostEngine. Aquest script recupera mòduls addicionals i les seves configuracions, desactiva Windows Defender, activa serveis remots i esborra diversos registres d'esdeveniments de Windows.
Posteriorment, get.png comprova si hi ha almenys 10 MB d'espai lliure al sistema, un requisit per avançar en la infecció, i crea tasques programades anomenades "OneDriveCloudSync", "DefaultBrowserUpdate" i "OneDriveCloudBackup" per garantir la persistència.
El programari maliciós GhostEngine pot tancar el programari de seguretat als dispositius de les víctimes
L'script de PowerShell procedeix a descarregar i executar un executable anomenat smartsscreen.exe, que serveix com a càrrega útil principal de GhostEngine. Aquest programari maliciós té l'encàrrec d'acabar i suprimir el programari de detecció i resposta de punt final (EDR) i descarregar i llançar XMRig per explotar criptomoneda. Per desactivar el programari EDR, GhostEngine utilitza dos controladors del nucli vulnerables: aswArPots.sys (un controlador Avast) per finalitzar els processos EDR i IObitUnlockers.sys (un controlador IObit) per eliminar els executables corresponents.
Per a la persistència, un servei de Windows anomenat 'msdtc' carrega una DLL anomenada 'oci.dll'. Un cop activada, aquesta DLL baixa una còpia nova de 'get.png' per instal·lar la darrera versió de GhostEngine a la màquina.
Tenint en compte la possibilitat que a cada víctima se li assigni una cartera única, els guanys financers dels atacs de programari maliciós GhostEngine podrien ser substancials.
Mesures de seguretat recomanades contra el programari maliciós GhostEngine Miner
Els investigadors recomanen que els defensors estiguin atents a indicadors com ara execucions sospitoses de PowerShell, activitats de processos inusuals i trànsit de xarxa dirigit a grups de mineria de criptomoneda. A més, el desplegament de controladors vulnerables i la creació de serveis associats en mode nucli s'han de tractar com a senyals d'advertència importants en qualsevol sistema. Com a mesura proactiva, bloquejar la creació de fitxers a partir de controladors vulnerables, com ara aswArPots.sys i IobitUnlockers.sys, pot ajudar a mitigar aquestes amenaces.
