Die GhostEngine-Malware versucht, Ihren Computer zum Kryptomining zu verwenden
GhostEngine Malware ist ein ausgeklügelter Intrusion-Set, der verschiedene bösartige Module integriert und anfällige Treiber nutzt, um Sicherheitslösungen zu deaktivieren und Kryptomining zu ermöglichen. Diese Malware mit der Bezeichnung REF4578 verwendet GHOSTENGINE als primäre Nutzlast. Forscher haben Teile dieses Intrusion-Sets auch unter dem Namen HIDDENSHOVEL identifiziert.
Table of Contents
Hauptmerkmale und Taktiken
Kontingenz- und Duplikationsmechanismen
Die Autoren der GhostEngine-Malware haben zahlreiche Notfall- und Duplizierungsmechanismen eingebaut, um Widerstandsfähigkeit und Beständigkeit zu gewährleisten. Diese Mechanismen tragen dazu bei, die Funktionalität der Malware aufrechtzuerhalten, selbst wenn Teile des Betriebs unterbrochen werden.
Deaktivieren von Sicherheitslösungen
GHOSTENGINE nutzt anfällige Treiber, um bekannte Endpoint Detection and Response (EDR)-Agenten zu beenden und zu löschen. Dieser Schritt ist entscheidend, um den Einsatz des Coin Miners ohne Störungen durch Sicherheitssoftware zu ermöglichen.
Diese Malware-Kampagne weist ein ungewöhnliches Maß an Komplexität auf, um die Installation und Persistenz des XMRIG-Miners sicherzustellen. Sie beginnt mit der Ausführung einer PE-Datei namens Tiworker.exe, die sich als legitime Windows-Datei TiWorker.exe ausgibt. Diese Aktion löst eine Reihe bösartiger Aktivitäten aus.
Infektions- und Ausführungsprozess
Bei der Ausführung lädt die Datei Tiworker.exe ein PowerShell-Skript herunter und führt es aus, das den gesamten Angriffsablauf orchestriert. Diese Binärdatei führt einen fest codierten PowerShell-Befehl aus, um ein verschleiertes Skript, get.png, abzurufen, das zusätzliche Tools, Module und Konfigurationen vom Command-and-Control-Server (C2) des Angreifers herunterlädt.
GHOSTENGINE ist für das Abrufen und Ausführen von Modulen auf dem infizierten Computer verantwortlich. Es verwendet hauptsächlich HTTP, um Dateien von einer konfigurierten Domäne herunterzuladen, mit einer Backup-IP, falls Domänen nicht verfügbar sind. FTP dient als sekundäres Protokoll und verwendet eingebettete Anmeldeinformationen für zusätzliche Redundanz.
Systembereinigung und Persistenz
Das Skript lädt clearn.png herunter und führt es aus. Dabei handelt es sich um eine Komponente, die Reste früherer Infektionen entfernen soll. Es bereinigt schädliche Dateien in Verzeichnissen wie C:\Programme\Gemeinsame Dateien\System\ado und C:\PROGRA 1\GEMEINSAM 1\System\ado. Außerdem werden geplante Aufgaben mit den Namen entfernt:
- Microsoft Assist-Job
- System-Hilfecenter-Job
- SystemFlushDns
- SystemFlashDnsSrv
Artefakte dieser geplanten Aufgaben können auf frühere Infektionen hinweisen.
Bedeutung der Entfernung der GhostEngine-Malware
Das Entfernen der GhostEngine-Malware ist entscheidend, um zu verhindern, dass Ihr System für Kryptomining missbraucht wird. Kryptomining ohne Zustimmung kann Ihren Computer erheblich verlangsamen und zu erhöhtem Energieverbrauch und höheren Kosten führen.
Schutz Ihrer Daten
Durch die Entfernung dieser Malware können Sie verhindern, dass Ihre Systeminformationen an böswillige Akteure weitergegeben werden. So bleiben Ihre persönlichen und beruflichen Daten geschützt.
