Malware GhostEngine
Një fushatë sulmi për minierat e kriptove me emrin e koduar REF4578 është zbuluar duke vendosur një ngarkesë kërcënuese të quajtur GhostEngine. Malware është i aftë të shfrytëzojë drejtuesit e cenueshëm për të fikur produktet e sigurisë dhe për të vendosur një minator XMRig . Studiuesit kanë nënvizuar sofistikimin e pazakontë të këtyre sulmeve të kripto-minierave duke publikuar raporte me gjetjet e tyre. Megjithatë, deri më tani, ekspertët nuk ia kanë atribuar aktivitetin ndonjë aktori të njohur kërcënimi dhe as nuk kanë zbuluar ndonjë detaj në lidhje me objektivat/viktimat, kështu që origjina dhe shtrirja e fushatës mbeten të panjohura.
Tabela e Përmbajtjes
Malware GhostEngine fillon sulmin e tij duke u paraqitur si një skedar legjitim
Metoda fillestare e shkeljes së serverit mbetet e paqartë, por sulmi fillon me ekzekutimin e një skedari të quajtur 'Tiworker.exe', i cili paraqitet si një skedar legjitim i Windows. Ky ekzekutues shërben si ngarkesa fillestare e vendosjes për GhostEngine, një skript PowerShell i krijuar për të shkarkuar module të ndryshme për aktivitete të ndryshme të dëmshme në pajisjen e infektuar.
Pas ekzekutimit, Tiworker.exe shkarkon një skript PowerShell të quajtur 'get.png' nga serveri Command-and-Control (C2) i sulmuesit, duke vepruar si ngarkuesi kryesor për GhostEngine. Ky skript merr module shtesë dhe konfigurimet e tyre, çaktivizon Windows Defender, mundëson shërbime në distancë dhe pastron regjistrat e ndryshëm të ngjarjeve të Windows.
Më pas, get.png kontrollon për të paktën 10 MB hapësirë të lirë në sistem, një kërkesë për avancimin e infeksionit dhe krijon detyra të planifikuara të quajtura "OneDriveCloudSync", "DefaultBrowserUpdate" dhe "OneDriveCloudBackup" për të siguruar qëndrueshmëri.
Malware GhostEngine mund të mbyllë softuerin e sigurisë në pajisjet e viktimave
Skripti PowerShell vazhdon të shkarkojë dhe ekzekutojë një ekzekutues të quajtur smartsscreen.exe, i cili shërben si ngarkesa kryesore e GhostEngine. Ky malware ka për detyrë të përfundojë dhe të fshijë softuerin e Zbulimit dhe Përgjigjes së Endpoint (EDR) dhe të shkarkojë dhe lëshojë XMRig për të minuar kriptomonedhën. Për të çaktivizuar softuerin EDR, GhostEngine përdor dy drejtues kernel të cenueshëm: aswArPots.sys (një drejtues Avast) për të përfunduar proceset EDR dhe IObitUnlockers.sys (një drejtues IObit) për të fshirë ekzekutuesit përkatës.
Për këmbëngulje, një DLL me emrin 'oci.dll' ngarkohet nga një shërbim Windows i quajtur 'msdtc'. Pas aktivizimit, kjo DLL shkarkon një kopje të re të 'get.png' për të instaluar versionin më të fundit të GhostEngine në makinë.
Duke pasur parasysh mundësinë që secilës viktimë mund t'i caktohet një portofol unik, përfitimet financiare nga sulmet e malware të GhostEngine mund të jenë të konsiderueshme.
Masat e rekomanduara të sigurisë kundër malware GhostEngine Miner
Studiuesit rekomandojnë që mbrojtësit të qëndrojnë vigjilentë për tregues të tillë si ekzekutimet e dyshimta të PowerShell, aktivitetet e pazakonta të procesit dhe trafikun e rrjetit të drejtuar drejt pishinave të minierave të kriptomonedhave. Për më tepër, vendosja e drejtuesve të cenueshëm dhe krijimi i shërbimeve të modalitetit të kernelit duhet të trajtohen si shenja të rëndësishme paralajmëruese në çdo sistem. Si masë proaktive, bllokimi i krijimit të skedarëve nga drejtuesit e cenueshëm, si aswArPots.sys dhe IobitUnlockers.sys, mund të ndihmojë në zbutjen e këtyre kërcënimeve.
