Malware GhostEngine
A fost descoperită o campanie de atac cripto minat cu numele de cod REF4578, care desfășoară o sarcină utilă amenințătoare numită GhostEngine. Malware-ul este capabil să exploateze drivere vulnerabili pentru a opri produsele de securitate și a implementa un miner XMRig . Cercetătorii au subliniat sofisticarea neobișnuită a acestor atacuri cripto-minerale prin lansarea de rapoarte cu descoperirile lor. Cu toate acestea, până acum, experții nu au atribuit activitatea unor actori cunoscuți ai amenințărilor și nici nu au dezvăluit detalii despre ținte/victime, astfel încât originea și amploarea campaniei rămân necunoscute.
Cuprins
Malware-ul GhostEngine își începe atacul dându-se drept fișier legitim
Metoda inițială de încălcare a serverului rămâne neclară, dar atacul începe cu execuția unui fișier numit „Tiworker.exe”, care se prezintă drept un fișier Windows legitim. Acest executabil servește ca sarcină utilă inițială pentru GhostEngine, un script PowerShell conceput pentru a descărca diverse module pentru diferite activități dăunătoare pe dispozitivul infectat.
La executare, Tiworker.exe descarcă un script PowerShell numit „get.png” de pe serverul de comandă și control (C2) al atacatorului, acționând ca încărcător principal pentru GhostEngine. Acest script preia module suplimentare și configurațiile acestora, dezactivează Windows Defender, activează serviciile de la distanță și șterge diferite jurnale de evenimente Windows.
Ulterior, get.png verifică dacă există cel puțin 10 MB de spațiu liber pe sistem, o cerință pentru avansarea infecției, și creează sarcini programate numite „OneDriveCloudSync”, „DefaultBrowserUpdate” și „OneDriveCloudBackup” pentru a asigura persistența.
Programul malware GhostEngine poate închide software-ul de securitate de pe dispozitivele victimelor
Scriptul PowerShell continuă să descarce și să execute un executabil numit smartsscreen.exe, care servește ca sarcină utilă principală a GhostEngine. Acest program malware are sarcina de a termina și șterge software-ul Endpoint Detection and Response (EDR) și de a descărca și lansa XMRig pentru a extrage criptomonede. Pentru a dezactiva software-ul EDR, GhostEngine utilizează două drivere vulnerabile de nucleu: aswArPots.sys (un driver Avast) pentru a termina procesele EDR și IObitUnlockers.sys (un driver IObit) pentru a șterge executabilele corespunzătoare.
Pentru persistență, un DLL numit „oci.dll” este încărcat de un serviciu Windows numit „msdtc”. La activare, acest DLL descarcă o nouă copie a „get.png” pentru a instala cea mai recentă versiune de GhostEngine pe computer.
Având în vedere posibilitatea ca fiecărei victime să i se atribuie un portofel unic, câștigurile financiare din atacurile malware GhostEngine ar putea fi substanțiale.
Măsuri de securitate recomandate împotriva programului malware GhostEngine Miner
Cercetătorii recomandă apărătorilor să rămână vigilenți pentru indicatorii cum ar fi execuțiile PowerShell suspecte, activitățile neobișnuite ale proceselor și traficul de rețea direcționat către pool-urile de minerit de criptomonede. În plus, implementarea driverelor vulnerabili și crearea serviciilor asociate în modul kernel ar trebui tratate ca semne de avertizare semnificative în orice sistem. Ca măsură proactivă, blocarea creării de fișiere din driverele vulnerabile, cum ar fi aswArPots.sys și IobitUnlockers.sys, poate ajuta la atenuarea acestor amenințări.
