Το κακόβουλο λογισμικό GhostEngine επιχειρεί να χρησιμοποιήσει τον υπολογιστή σας για κρυπτοεξόρυξη

Το GhostEngine Malware είναι ένα εξελιγμένο σετ εισβολής που ενσωματώνει διάφορες κακόβουλες μονάδες, χρησιμοποιώντας ευάλωτα προγράμματα οδήγησης για την απενεργοποίηση λύσεων ασφαλείας και τη διευκόλυνση της εξόρυξης κρυπτογράφησης. Αυτό το κακόβουλο λογισμικό, που αναφέρεται ως REF4578, χρησιμοποιεί το GHOSTENGINE ως κύριο ωφέλιμο φορτίο. Οι ερευνητές έχουν επίσης εντοπίσει τμήματα αυτού του συνόλου εισβολής με το όνομα HIDDENSHOVEL.

Βασικά Χαρακτηριστικά και Τακτικές

Μηχανισμοί έκτακτης ανάγκης και επικάλυψης

Οι δημιουργοί του GhostEngine Malware έχουν ενσωματώσει πολυάριθμους μηχανισμούς έκτακτης ανάγκης και αντιγραφής για να εξασφαλίσουν ανθεκτικότητα και επιμονή. Αυτοί οι μηχανισμοί βοηθούν στη διατήρηση της λειτουργικότητας του κακόβουλου λογισμικού ακόμα και αν διακοπούν τμήματα της λειτουργίας.

Απενεργοποίηση λύσεων ασφαλείας

Το GHOSTENGINE αξιοποιεί ευάλωτα προγράμματα οδήγησης για τον τερματισμό και τη διαγραφή γνωστών παραγόντων Ανίχνευσης και Απόκρισης Τελικού Σημείου (EDR). Αυτό το βήμα είναι ζωτικής σημασίας για να επιτρέπεται η ανάπτυξη του coin miner χωρίς παρεμβολές από λογισμικό ασφαλείας.

Αυτή η καμπάνια κακόβουλου λογισμικού παρουσιάζει ένα ασυνήθιστο επίπεδο πολυπλοκότητας για να διασφαλίσει την εγκατάσταση και την επιμονή του XMRIG miner. Ξεκινά με την εκτέλεση ενός αρχείου PE με το όνομα Tiworker.exe, το οποίο μεταμφιέζεται ως το νόμιμο Windows TiWorker.exe. Αυτή η ενέργεια ενεργοποιεί μια σειρά από κακόβουλες δραστηριότητες.

Διαδικασία μόλυνσης και εκτέλεσης

Κατά την εκτέλεση, το αρχείο Tiworker.exe κατεβάζει και εκτελεί ένα σενάριο PowerShell που ενορχηστρώνει ολόκληρη τη ροή εισβολής. Αυτό το δυαδικό εκτελεί μια εντολή PowerShell με σκληρό κώδικα για την ανάκτηση ενός ασαφούς σεναρίου, το get.png, το οποίο κατεβάζει πρόσθετα εργαλεία, λειτουργικές μονάδες και διαμορφώσεις από τον διακομιστή εντολών και ελέγχου (C2) του εισβολέα.

Το GHOSTENGINE είναι υπεύθυνο για την ανάκτηση και την εκτέλεση μονάδων στο μολυσμένο μηχάνημα. Χρησιμοποιεί κυρίως το HTTP για τη λήψη αρχείων από έναν διαμορφωμένο τομέα, με εφεδρική διεύθυνση IP εάν οι τομείς δεν είναι διαθέσιμοι. Το FTP χρησιμεύει ως δευτερεύον πρωτόκολλο, χρησιμοποιώντας ενσωματωμένα διαπιστευτήρια για πρόσθετο πλεονασμό.

Εκκαθάριση συστήματος και επιμονή

Το σενάριο κατεβάζει και εκτελεί το clearn.png, ένα στοιχείο που έχει σχεδιαστεί για να αφαιρεί υπολείμματα προηγούμενων μολύνσεων. Καθαρίζει κακόβουλα αρχεία που βρίσκονται σε καταλόγους όπως C:\Program Files\Common Files\System\ado και C:\PROGRA 1\ΚΟΙΝΗ 1\System\ado. Επιπλέον, καταργεί τις προγραμματισμένες εργασίες με το όνομα:

• Microsoft Assist Job
• Εργασία Κέντρου βοήθειας συστήματος
• SystemFlushDns
• SystemFlashDnsSrv

Τα τεχνουργήματα αυτών των προγραμματισμένων εργασιών μπορεί να υποδεικνύουν προηγούμενες μολύνσεις.

Σημασία κατάργησης κακόβουλου λογισμικού GhostEngine

Η κατάργηση του κακόβουλου λογισμικού GhostEngine είναι ζωτικής σημασίας για να αποτρέψετε την εκμετάλλευση του συστήματός σας για εξόρυξη κρυπτογράφησης. Η κρυπτοεξόρυξη χωρίς συγκατάθεση μπορεί να επιβραδύνει σημαντικά τον υπολογιστή σας και να οδηγήσει σε αυξημένη κατανάλωση ενέργειας και κόστος.

Προστασία των πληροφοριών σας

Η διασφάλιση της κατάργησης αυτού του κακόβουλου λογισμικού συμβάλλει στην προστασία των πληροφοριών του συστήματός σας από την κοινή χρήση κακόβουλων παραγόντων, προστατεύοντας έτσι τα προσωπικά και επαγγελματικά σας δεδομένα.