Κακόβουλες επιθέσεις crypto mining με την κωδική ονομασία «REF4578» ανακαλύφθηκε να αναπτύσσει ένα κακόβουλο ωφέλιμο φορτίο με το όνομα GhostEngine, που χρησιμοποιεί ευάλωτα προγράμματα οδήγησης για να απενεργοποιήσει τα products ασφαλείας και να αναπτύξει ένα XMRig miner.
See also: Ποινή φυλάκισης στον προγραμματιστή του Tornado Cash cryptomixer
Ερευνητές στα Elastic Security Labs and in Antiy έχουν υπογραμμίσει την ασυνήθιστη πολυπλοκότητα αυτών των επιθέσεων crypto mining GhostEngine σε ξεχωριστές αναφορές, για να βοηθήσουν τους υπερασπιστές να τις εντοπίσουν και να τις σταματήσουν.
Ωστόσο, καμία αναφορά δεν αποδίδει τη δραστηριότητα σε γνωστούς παράγοντες απειλών ούτε κοινοποιεί λεπτομέρειες σχετικά με στόχους/θύματα, επομένως η προέλευση και το εύρος της καμπάνιας παραμένουν άγνωστα.
Αν και δεν είναι σαφές πώς παραβιάζονται αρχικά οι servers, η επίθεση ξεκινά με την εκτέλεση ενός αρχείου με το όνομα “Tiworker.exe“, το οποίο μεταμφιέζεται ως νόμιμο αρχείο των Windows.
Αυτό το εκτελέσιμο αρχείο είναι το αρχικό στάδιο της επίθεσης mining GhostEngine, ένα σενάριο PowerShell που κατεβάζει διάφορες ενότητες για να διεξάγει διαφορετικές συμπεριφορές σε μια μολυσμένη Device.
Όταν εκτελείται το Tiworker.exe, θα κατεβάσει ένα σενάριο PowerShell με το όνομα «get.png» από τον διακομιστή εντολών και ελέγχου (C2) του εισβολέα, ο οποίος λειτουργεί ως ο κύριος φορτωτής του GhostEngine.
Αυτή η δέσμη ενεργειών PowerShell κατεβάζει πρόσθετες μονάδες και τις διαμορφώσεις τους, απενεργοποιεί το Windows Defender, ενεργοποιεί απομακρυσμένες υπηρεσίες και διαγράφει διάφορα αρχεία καταγραφής συμβάντων των Windows. Στη συνέχεια, το get.png επαληθεύει ότι το σύστημα έχει τουλάχιστον 10 MB ελεύθερου χώρου, ο οποίος είναι απαραίτητος για την προώθηση της μόλυνσης, και δημιουργεί προγραμματισμένες εργασίες με τα ονόματα “OneDriveCloudSync“, “DefaultBrowserUpdate" and "OneDriveCloudBackup” για επιμονή.
See also: Αδέλφια κατηγορούνται για κλοπή crypto αξίας 25 εκατ. δολαρίων
Το σενάριο PowerShell θα πραγματοποιήσει τώρα λήψη και εκκίνηση ενός εκτελέσιμου με το όνομα smartsscreen.exe, το οποίο λειτουργεί ως το κύριο ωφέλιμο φορτίο του GhostEngine, για την πραγματοποίηση της επίθεσης mining.
Αυτό το κακόβουλο λογισμικό είναι υπεύθυνο για τον τερματισμό και τη διαγραφή του λογισμικού EDR και τη λήψη και εκκίνηση του XMRig για εξόρυξη κρυπτονομισματών.
Για να τερματίσει το λογισμικό EDR, το GhostEngine φορτώνει δύο ευάλωτα προγράμματα οδήγησης πυρήνα: το aswArPots.sys (πρόγραμμα οδήγησης Avast), το οποίο χρησιμοποιείται για τον τερματισμό των διεργασιών EDR και το IObitUnlockers.sys (πρόγραμμα οδήγησης Iobit) για τη διαγραφή του σχετικού εκτελέσιμου αρχείου.
Για επιμονή, ένα DLL με το όνομα «oci.dll» φορτώνεται από μια υπηρεσία των Windows με το όνομα «msdtc». Όταν ξεκινήσει, αυτό το DLL θα κατεβάσει ένα νέο αντίγραφο του ‘get.png’ για να εγκαταστήσει την πιο πρόσφατη έκδοση του GhostEngine στο Machine.
Αν και η Elastic δεν έχει δει εντυπωσιακά στοιχεία, είναι πιθανό κάθε θύμα να συνοδεύεται από ένα μοναδικό πορτοφόλι, επομένως το συνολικό οικονομικό κέρδος θα μπορούσε να είναι σημαντικό.
See also: FBI: Use of unlicensed crypto services leads to financial losses
Για να προστατευτείτε από επιθέσεις crypto mining όπως η GhostEngine, είναι σημαντικό να εγκαταστήσετε και να ενημερώνετε τακτικά ένα αξιόπιστο λογισμικό προστασίας από ιούς και κακόβουλο λογισμικό. Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σας σύστημα και όλα τα προγράμματα ενημερωμένα, με τις τελευταίες εκδόσεις και διορθώσεις ασφαλείας. Αποφύγετε να επισκέπτεστε ύποπτους ή μη αξιόπιστους ιστότοπους και να κατεβάζετε αρχεία από μη αξιόπιστες πηγές. Αυτοί οι ιστότοποι και τα αρχεία μπορεί να περιέχουν κακόβουλο λογισμικό που μπορεί να εγκατασταθεί στον Computer σας και να ξεκινήσει την εξόρυξη κρυπτονομισμάτων. Ελέγχετε τακτικά τη χρήση των πόρων του υπολογιστή σας, όπως τη CPU και τη GPU. Αν παρατηρήσετε ασυνήθιστα υψηλή χρήση χωρίς προφανή λόγο, αυτό μπορεί να είναι ένδειξη κακόβουλης εξόρυξης κρυπτονομισμάτων. Χρησιμοποιήστε εργαλεία παρακολούθησης συστήματος για να εντοπίσετε και να σταματήσετε τέτοιες δραστηριότητες.
Source: bleepingcomputer
