GhostEngine మాల్వేర్
REF4578 అనే సంకేతనామం గల క్రిప్టో మైనింగ్ దాడి ప్రచారం GhostEngine అనే బెదిరింపు పేలోడ్ని మోహరించడం కనుగొనబడింది. మాల్వేర్ భద్రతా ఉత్పత్తులను ఆఫ్ చేయడానికి మరియు XMRig మైనర్ను అమలు చేయడానికి హాని కలిగించే డ్రైవర్లను ఉపయోగించుకోగలదు. పరిశోధకులు తమ పరిశోధనలతో నివేదికలను విడుదల చేయడం ద్వారా ఈ క్రిప్టో-మైనింగ్ దాడుల అసాధారణ అధునాతనతను నొక్కిచెప్పారు. అయితే, ఇప్పటివరకు, నిపుణులు ఈ కార్యాచరణను తెలిసిన ఏ ముప్పు నటులకు ఆపాదించలేదు లేదా వారు లక్ష్యాలు/బాధితుల గురించి ఎలాంటి వివరాలను వెల్లడించలేదు, కాబట్టి ప్రచారం యొక్క మూలం మరియు పరిధి తెలియదు.
విషయ సూచిక
GhostEngine మాల్వేర్ చట్టబద్ధమైన ఫైల్గా చూపడం ద్వారా దాని దాడిని ప్రారంభించింది
సర్వర్ ఉల్లంఘన యొక్క ప్రారంభ పద్ధతి అస్పష్టంగానే ఉంది, అయితే దాడి 'Tiworker.exe' అనే ఫైల్ను అమలు చేయడంతో ప్రారంభమవుతుంది, ఇది చట్టబద్ధమైన Windows ఫైల్గా ఉంది. ఈ ఎక్జిక్యూటబుల్ GhostEngine కోసం ప్రారంభ స్టేజింగ్ పేలోడ్గా పనిచేస్తుంది, ఇది సోకిన పరికరంలో వివిధ హానికరమైన కార్యకలాపాల కోసం వివిధ మాడ్యూళ్లను డౌన్లోడ్ చేయడానికి రూపొందించబడిన పవర్షెల్ స్క్రిప్ట్.
అమలు చేసిన తర్వాత, Tiworker.exe దాడి చేసేవారి కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి 'get.png' అనే పవర్షెల్ స్క్రిప్ట్ను డౌన్లోడ్ చేస్తుంది, GhostEngine కోసం ప్రాథమిక లోడర్గా పనిచేస్తుంది. ఈ స్క్రిప్ట్ అదనపు మాడ్యూల్లు మరియు వాటి కాన్ఫిగరేషన్లను తిరిగి పొందుతుంది, Windows డిఫెండర్ను నిలిపివేస్తుంది, రిమోట్ సేవలను ప్రారంభిస్తుంది మరియు వివిధ Windows ఈవెంట్ లాగ్లను క్లియర్ చేస్తుంది.
తదనంతరం, get.png సిస్టమ్లో కనీసం 10MB ఖాళీ స్థలం కోసం తనిఖీ చేస్తుంది, ఇది ఇన్ఫెక్షన్ను అభివృద్ధి చేయడానికి అవసరం, మరియు నిలకడను నిర్ధారించడానికి 'OneDriveCloudSync,' 'DefaultBrowserUpdate,' మరియు 'OneDriveCloudBackup' పేరుతో షెడ్యూల్ చేయబడిన టాస్క్లను సృష్టిస్తుంది.
GhostEngine మాల్వేర్ బాధితుల పరికరాలలో భద్రతా సాఫ్ట్వేర్ను మూసివేయగలదు
PowerShell స్క్రిప్ట్ స్మార్ట్స్క్రీన్.exe పేరుతో ఎక్జిక్యూటబుల్ని డౌన్లోడ్ చేసి, అమలు చేస్తుంది, ఇది GhostEngine యొక్క ప్రాధమిక పేలోడ్గా పనిచేస్తుంది. ఈ మాల్వేర్ ఎండ్పాయింట్ డిటెక్షన్ అండ్ రెస్పాన్స్ (EDR) సాఫ్ట్వేర్ను ముగించడం మరియు తొలగించడం మరియు మైన్ క్రిప్టోకరెన్సీకి XMRigని డౌన్లోడ్ చేయడం మరియు ప్రారంభించడం వంటి బాధ్యతలను కలిగి ఉంది. EDR సాఫ్ట్వేర్ను నిలిపివేయడానికి, GhostEngine రెండు హాని కలిగించే కెర్నల్ డ్రైవర్లను ఉపయోగిస్తుంది: EDR ప్రక్రియలను ముగించడానికి aswArPots.sys (ఒక అవాస్ట్ డ్రైవర్) మరియు సంబంధిత ఎక్జిక్యూటబుల్లను తొలగించడానికి IObitUnlockers.sys (ఒక IObit డ్రైవర్).
నిలకడ కోసం, 'oci.dll' అనే DLL 'msdtc' అనే Windows సర్వీస్ ద్వారా లోడ్ చేయబడింది. సక్రియం అయిన తర్వాత, ఈ DLL మెషీన్లో GhostEngine యొక్క తాజా వెర్షన్ను ఇన్స్టాల్ చేయడానికి 'get.png' యొక్క తాజా కాపీని డౌన్లోడ్ చేస్తుంది.
ప్రతి బాధితుడికి ప్రత్యేకమైన వాలెట్ కేటాయించబడే అవకాశం ఉన్నందున, GhostEngine మాల్వేర్ దాడుల నుండి ఆర్థిక లాభాలు గణనీయంగా ఉండవచ్చు.
GhostEngine మైనర్ మాల్వేర్కు వ్యతిరేకంగా సిఫార్సు చేయబడిన భద్రతా చర్యలు
అనుమానాస్పద పవర్షెల్ అమలులు, అసాధారణ ప్రక్రియ కార్యకలాపాలు మరియు క్రిప్టోకరెన్సీ మైనింగ్ పూల్ల వైపు నెట్వర్క్ ట్రాఫిక్ వంటి సూచికల కోసం డిఫెండర్లు అప్రమత్తంగా ఉండాలని పరిశోధకులు సిఫార్సు చేస్తున్నారు. ఇంకా, హాని కలిగించే డ్రైవర్ల విస్తరణ మరియు అనుబంధిత కెర్నల్ మోడ్ సేవలను సృష్టించడం ఏదైనా సిస్టమ్లో ముఖ్యమైన హెచ్చరిక సంకేతాలుగా పరిగణించబడాలి. ముందస్తు చర్యగా, aswArPots.sys మరియు IobitUnlockers.sys వంటి హాని కలిగించే డ్రైవర్ల నుండి ఫైల్ల సృష్టిని నిరోధించడం ఈ బెదిరింపులను తగ్గించడంలో సహాయపడుతుంది.
