GhostEngine Malware forsøger at bruge din computer til kryptominering
GhostEngine Malware er et sofistikeret indtrængen sæt, der integrerer forskellige ondsindede moduler, der bruger sårbare drivere til at deaktivere sikkerhedsløsninger og lette kryptominering. Denne malware, der refereres til som REF4578, bruger GHOSTENGINE som sin primære nyttelast. Forskere har også identificeret dele af dette intrusionssæt under navnet HIDDENSHOVEL.
Table of Contents
Nøglefunktioner og taktik
Beredskabs- og duplikeringsmekanismer
GhostEngine Malware-forfattere har indarbejdet adskillige beredskabs- og duplikeringsmekanismer for at sikre modstandskraft og vedholdenhed. Disse mekanismer hjælper med at opretholde malwarens funktionalitet, selvom dele af driften forstyrres.
Deaktivering af sikkerhedsløsninger
GHOSTENGINE udnytter sårbare drivere til at afslutte og slette kendte Endpoint Detection and Response (EDR)-agenter. Dette trin er afgørende for at tillade udrulning af møntminer uden indblanding fra sikkerhedssoftware.
Denne malware-kampagne udviser et usædvanligt kompleksitetsniveau for at sikre installationen og vedholdenheden af XMRIG-miner. Det begynder med udførelsen af en PE-fil ved navn Tiworker.exe, som udgiver sig som den legitime Windows TiWorker.exe. Denne handling udløser en sekvens af ondsindede aktiviteter.
Infektion og udførelsesproces
Ved udførelse downloader og udfører Tiworker.exe-filen et PowerShell-script, der orkestrerer hele indtrængningsflowet. Dette binære program kører en hårdkodet PowerShell-kommando for at hente et sløret script, get.png, som downloader yderligere værktøjer, moduler og konfigurationer fra angriberens kommando- og kontrolserver (C2).
GHOSTENGINE er ansvarlig for at hente og udføre moduler på den inficerede maskine. Det bruger primært HTTP til at downloade filer fra et konfigureret domæne med en backup-IP, hvis domæner ikke er tilgængelige. FTP fungerer som en sekundær protokol, der bruger indlejrede legitimationsoplysninger for ekstra redundans.
Systemoprydning og persistens
Scriptet downloader og udfører clearn.png, en komponent designet til at fjerne rester af tidligere infektioner. Det renser ondsindede filer placeret i mapper såsom C:\Program Files\Common Files\System\ado og C:\PROGRA 1\FÆLLES 1\System\ado. Derudover fjerner det planlagte opgaver med navnet:
- Microsoft Assist job
- Job i System Help Center
- SystemFlushDns
- SystemFlashDnsSrv
Artefakter af disse planlagte opgaver kan indikere tidligere infektioner.
Vigtigheden af at fjerne GhostEngine Malware
Fjernelse af GhostEngine Malware er afgørende for at forhindre dit system i at blive udnyttet til kryptominering. Cryptomining uden samtykke kan sænke din computer betydeligt og føre til øget energiforbrug og omkostninger.
Beskyttelse af dine oplysninger
At sikre fjernelse af denne malware hjælper med at beskytte dit systems information mod at blive delt med ondsindede aktører og derved beskytte dine personlige og professionelle data.
