Malware GhostEngine
Byla objevena kampaň proti těžbě kryptoměn s kódovým označením REF4578, která nasazuje hrozivý náklad s názvem GhostEngine. Malware je schopen zneužít zranitelné ovladače k vypnutí bezpečnostních produktů a nasazení XMRig mineru. Výzkumníci podtrhli neobvyklou sofistikovanost těchto útoků na těžbu kryptoměn zveřejněním zpráv se svými zjištěními. Doposud však experti nepřisuzovali aktivitu žádnému známému aktérovi hrozby ani neprozradili žádné podrobnosti o cílech/obětech, takže původ a rozsah kampaně zůstává neznámý.
Obsah
Malware GhostEngine začíná útočit tím, že se vydává za legitimní soubor
Počáteční metoda narušení serveru zůstává nejasná, ale útok začíná spuštěním souboru s názvem „Tiworker.exe“, který se tváří jako legitimní soubor Windows. Tento spustitelný soubor slouží jako počáteční pracovní zatížení pro GhostEngine, skript PowerShell určený ke stažení různých modulů pro různé škodlivé aktivity na infikovaném zařízení.
Po spuštění Tiworker.exe stáhne skript PowerShell s názvem „get.png“ z útočníkova serveru Command-and-Control (C2), který funguje jako primární zavaděč pro GhostEngine. Tento skript načte další moduly a jejich konfigurace, zakáže program Windows Defender, povolí vzdálené služby a vymaže různé protokoly událostí systému Windows.
Následně get.png zkontroluje alespoň 10 MB volného místa v systému, což je požadavek pro postup infekce, a vytvoří naplánované úlohy s názvem „OneDriveCloudSync“, „DefaultBrowserUpdate“ a „OneDriveCloudBackup“, aby byla zajištěna trvalost.
Malware GhostEngine může vypnout bezpečnostní software na zařízeních obětí
Skript PowerShell pokračuje ve stažení a spuštění spustitelného souboru s názvem smartsscreen.exe, který slouží jako primární datová část GhostEngine. Tento malware má za úkol ukončit a smazat software Endpoint Detection and Response (EDR) a stáhnout a spustit XMRig pro těžbu kryptoměny. K deaktivaci softwaru EDR využívá GhostEngine dva zranitelné ovladače jádra: aswArPots.sys (ovladač Avast) k ukončení procesů EDR a IObitUnlockers.sys (ovladač IObit) k odstranění příslušných spustitelných souborů.
Pro zachování platnosti je knihovna DLL s názvem 'oci.dll' načtena službou Windows s názvem 'msdtc.' Po aktivaci si tato knihovna DLL stáhne novou kopii 'get.png' pro instalaci nejnovější verze GhostEngine do počítače.
Vzhledem k možnosti, že každé oběti může být přiřazena jedinečná peněženka, finanční zisky z útoků malwaru GhostEngine by mohly být značné.
Doporučená bezpečnostní opatření proti malwaru GhostEngine Miner
Výzkumníci doporučují, aby obránci zůstali ostražití, pokud jde o indikátory, jako jsou podezřelé spouštění PowerShellu, neobvyklé procesní aktivity a síťový provoz směřující do fondů pro těžbu kryptoměn. Kromě toho by nasazení zranitelných ovladačů a vytvoření souvisejících služeb režimu jádra mělo být považováno za významné varovné signály v jakémkoli systému. Jako proaktivní opatření může blokování vytváření souborů ze zranitelných ovladačů, jako jsou aswArPots.sys a IobitUnlockers.sys, pomoci zmírnit tyto hrozby.
