ГхостЕнгине Малваре
Откривена је кампања напада на рударење криптовалута под кодним називом РЕФ4578 која користи претећи терет под називом ГхостЕнгине. Малвер је способан да искористи рањиве драјвере да искључи безбедносне производе и примени КСМРиг рудар. Истраживачи су подвукли необичну софистицираност ових напада на крипто рударење објављивањем извештаја са својим налазима. Међутим, стручњаци до сада нису приписали активност ниједном познатом актеру претњи нити су открили било какве детаље о метама/жртвама, тако да порекло и обим кампање остају непознати.
Преглед садржаја
Злонамерни софтвер ГхостЕнгине почиње свој напад представљајући се као легитиман фајл
Почетни метод провале сервера остаје нејасан, али напад почиње извршавањем датотеке под називом „Тиворкер.еке“, која се представља као легитимна Виндовс датотека. Овај извршни фајл служи као почетно радно оптерећење за ГхостЕнгине, ПоверСхелл скрипту дизајнирану за преузимање различитих модула за различите штетне активности на зараженом уређају.
Након извршења, Тиворкер.еке преузима ПоверСхелл скрипту под називом 'гет.пнг' са нападачевог сервера за команду и контролу (Ц2), који делује као примарни учитавач за ГхостЕнгине. Ова скрипта преузима додатне модуле и њихове конфигурације, онемогућава Виндовс заштитник, омогућава удаљене услуге и брише разне евиденције Виндовс догађаја.
Након тога гет.пнг проверава најмање 10 МБ слободног простора на систему, што је услов за унапређење инфекције, и прави заказане задатке под називом „ОнеДривеЦлоудСинц“, „ДефаултБровсерУпдате“ и „ОнеДривеЦлоудБацкуп“ да би обезбедио постојаност.
Злонамерни софтвер ГхостЕнгине може да искључи безбедносни софтвер на уређајима жртава
ПоверСхелл скрипта наставља са преузимањем и извршавањем извршне датотеке под називом смартссцреен.еке, која служи као примарни терет ГхостЕнгине-а. Овај злонамерни софтвер има задатак да укине и избрише софтвер за откривање крајњих тачака и одговор (ЕДР) и да преузме и покрене КСМРиг за рударење криптовалуте. Да би онемогућио ЕДР софтвер, ГхостЕнгине користи два рањива драјвера кернела: асвАрПотс.сис (Аваст драјвер) да прекине ЕДР процесе и ИОбитУнлоцкерс.сис (ИОбит драјвер) да избрише одговарајуће извршне датотеке.
Ради постојаности, ДЛЛ под називом 'оци.длл' се учитава од стране Виндовс сервиса под називом 'мсдтц'. Након активације, овај ДЛЛ преузима нову копију 'гет.пнг' да би инсталирао најновију верзију ГхостЕнгине-а на машину.
С обзиром на могућност да се свакој жртви додели јединствени новчаник, финансијски добици од напада ГхостЕнгине малвера могу бити значајни.
Препоручене мере безбедности против ГхостЕнгине Минер малвера
Истраживачи препоручују да браниоци остану на опрезу у погледу индикатора као што су сумњива извршења ПоверСхелл-а, необичне процесне активности и мрежни саобраћај усмерен ка скуповима за рударење криптовалута. Штавише, постављање рањивих драјвера и креирање повезаних услуга режима језгра требало би да се третирају као значајни знаци упозорења у сваком систему. Као проактивна мера, блокирање креирања датотека од рањивих драјвера, као што су асвАрПотс.сис и ИобитУнлоцкерс.сис, може помоћи у ублажавању ових претњи.
