GhostEngine Malware
Uma campanha de ataque de mineração de criptografia com codinome REF4578 foi descoberta implantando uma carga ameaçadora chamada GhostEngine. O malware é capaz de explorar drivers vulneráveis para desligar produtos de segurança e implantar um minerador XMRig. Os pesquisadores sublinharam a sofisticação incomum desses ataques de mineração de criptografia ao divulgar relatórios com suas descobertas. No entanto, até agora, os especialistas não atribuíram a atividade a quaisquer atores de ameaças conhecidos nem revelaram quaisquer detalhes sobre os alvos/vítimas, pelo que a origem e o âmbito da campanha permanecem desconhecidos.
Índice
O GhostEngineMalware Começa o Seu Ataque Se Passando por umArquivo Legítimo
O método inicial de violação do servidor ainda não está claro, mas o ataque começa com a execução de um arquivo chamado ‘Tiworker.exe’, que se apresenta como um arquivo legítimo do Windows. Este executável serve como carga de teste inicial para o GhostEngine, um script do PowerShell projetado para baixar vários módulos para diferentes atividades prejudiciais no dispositivo infectado.
Após a execução, o Tiworker.exe baixa um script do PowerShell chamado 'get.png' do servidor de comando e controle (C2) do invasor, atuando como o carregador principal do GhostEngine. Este script recupera módulos adicionais e suas configurações, desabilita o Windows Defender, habilita serviços remotos e limpa vários logs de eventos do Windows.
Posteriormente, get.png verifica pelo menos 10 MB de espaço livre no sistema, um requisito para o avanço da infecção, e cria tarefas agendadas chamadas ‘OneDriveCloudSync,’ ‘DefaultBrowserUpdate’ e ‘OneDriveCloudBackup’ para garantir a persistência.
O GhostEngine Malware pode Desligar o Software de Segurança nos Dispositivos das Vítimas
O script do PowerShell baixa e executa um executável chamado smartsscreen.exe, que serve como carga principal do GhostEngine. Este malware tem a tarefa de encerrar e excluir o software Endpoint Detection and Response (EDR) e baixar e iniciar o XMRig para minerar criptomoedas. Para desativar o software EDR, o GhostEngine utiliza dois drivers de kernel vulneráveis: aswArPots.sys (um driver Avast) para encerrar processos EDR e IObitUnlockers.sys (um driver IObit) para excluir os executáveis correspondentes.
Para persistência, uma DLL chamada 'oci.dll' é carregada por um serviço do Windows chamado 'msdtc'. Após a ativação, esta DLL baixa uma nova cópia de ‘get.png’ para instalar a versão mais recente do GhostEngine na máquina.
Dada a possibilidade de cada vítima receber uma carteira exclusiva, os ganhos financeiros dos ataques de malware do GhostEngine podem ser substanciais.
Medidas de Segurança Recomendadas contra o GhostEngine Malware Miner
Os pesquisadores recomendam que os defensores permaneçam vigilantes em relação a indicadores como execuções suspeitas do PowerShell, atividades de processos incomuns e tráfego de rede direcionado a pools de mineração de criptomoedas. Além disso, a implantação de drivers vulneráveis e a criação de serviços de modo kernel associados devem ser tratadas como sinais de alerta significativos em qualquer sistema. Como medida proativa, bloquear a criação de arquivos de drivers vulneráveis, como aswArPots.sys e IobitUnlockers.sys, pode ajudar a mitigar essas ameaças.
