Malware GhostEngine
È stata scoperta una campagna di attacco di mining di criptovalute con nome in codice REF4578 che utilizzava un carico utile minaccioso denominato GhostEngine. Il malware è in grado di sfruttare driver vulnerabili per disattivare i prodotti di sicurezza e implementare un minatore XMRig . I ricercatori hanno sottolineato l'insolita sofisticazione di questi attacchi di cripto-mining pubblicando rapporti con i loro risultati. Tuttavia, finora gli esperti non hanno attribuito l'attività a nessun noto autore di minacce né hanno rivelato dettagli sugli obiettivi/vittime, quindi l'origine e la portata della campagna rimangono sconosciute.
Sommario
Il malware GhostEngine inizia il suo attacco fingendosi un file legittimo
Il metodo iniziale di violazione del server non è ancora chiaro, ma l'attacco inizia con l'esecuzione di un file denominato "Tiworker.exe", che si presenta come un file Windows legittimo. Questo eseguibile funge da payload di staging iniziale per GhostEngine, uno script PowerShell progettato per scaricare vari moduli per diverse attività dannose sul dispositivo infetto.
Al momento dell'esecuzione, Tiworker.exe scarica uno script PowerShell denominato "get.png" dal server Command-and-Control (C2) dell'aggressore, fungendo da caricatore principale per GhostEngine. Questo script recupera moduli aggiuntivi e le relative configurazioni, disabilita Windows Defender, abilita i servizi remoti e cancella vari registri eventi di Windows.
Successivamente, get.png controlla almeno 10 MB di spazio libero sul sistema, un requisito per far avanzare l'infezione, e crea attività pianificate denominate "OneDriveCloudSync", "DefaultBrowserUpdate" e "OneDriveCloudBackup" per garantire la persistenza.
Il malware GhostEngine può arrestare il software di sicurezza sui dispositivi delle vittime
Lo script PowerShell procede al download e all'esecuzione di un eseguibile denominato smartsscreen.exe, che funge da payload principale di GhostEngine. Questo malware ha il compito di terminare ed eliminare il software Endpoint Detection and Response (EDR) e di scaricare e avviare XMRig per estrarre la criptovaluta. Per disabilitare il software EDR, GhostEngine utilizza due driver del kernel vulnerabili: aswArPots.sys (un driver Avast) per terminare i processi EDR e IObitUnlockers.sys (un driver IObit) per eliminare i file eseguibili corrispondenti.
Per la persistenza, una DLL denominata "oci.dll" viene caricata da un servizio Windows chiamato "msdtc". Dopo l'attivazione, questa DLL scarica una nuova copia di "get.png" per installare l'ultima versione di GhostEngine sulla macchina.
Considerata la possibilità che a ciascuna vittima venga assegnato un portafoglio unico, i guadagni finanziari derivanti dagli attacchi malware GhostEngine potrebbero essere sostanziali.
Misure di sicurezza consigliate contro il malware GhostEngine Miner
I ricercatori raccomandano che i difensori rimangano vigili per indicatori come esecuzioni sospette di PowerShell, attività di processo insolite e traffico di rete diretto verso pool di mining di criptovaluta. Inoltre, l’implementazione di driver vulnerabili e la creazione di servizi in modalità kernel associati dovrebbero essere trattati come segnali di allarme significativi in qualsiasi sistema. Come misura proattiva, il blocco della creazione di file da driver vulnerabili, come aswArPots.sys e IobitUnlockers.sys, può aiutare a mitigare queste minacce.
