El malware GhostEngine intenta utilizar su computadora para criptominería
GhostEngine Malware es un conjunto de intrusión sofisticado que integra varios módulos maliciosos y utiliza controladores vulnerables para desactivar soluciones de seguridad y facilitar la criptominería. Este malware, denominado REF4578, emplea GHOSTENGINE como su carga útil principal. Los investigadores también han identificado partes de este conjunto de intrusión bajo el nombre HIDDENSHOVEL.
Table of Contents
Características y tácticas clave
Mecanismos de contingencia y duplicación
Los autores de GhostEngine Malware han incorporado numerosos mecanismos de contingencia y duplicación para garantizar la resiliencia y la persistencia. Estos mecanismos ayudan a mantener la funcionalidad del malware incluso si se interrumpen partes de la operación.
Deshabilitar las soluciones de seguridad
GHOSTENGINE aprovecha los controladores vulnerables para terminar y eliminar agentes conocidos de detección y respuesta de puntos finales (EDR). Este paso es crucial para permitir la implementación del minero de monedas sin interferencia del software de seguridad.
Esta campaña de malware exhibe un nivel poco común de complejidad para garantizar la instalación y persistencia del minero XMRIG. Comienza con la ejecución de un archivo PE llamado Tiworker.exe, que se hace pasar por el TiWorker.exe legítimo de Windows. Esta acción desencadena una secuencia de actividades maliciosas.
Proceso de infección y ejecución
Tras la ejecución, el archivo Tiworker.exe descarga y ejecuta un script de PowerShell que organiza todo el flujo de intrusión. Este binario ejecuta un comando de PowerShell codificado para recuperar un script ofuscado, get.png, que descarga herramientas, módulos y configuraciones adicionales del servidor de comando y control (C2) del atacante.
GHOSTENGINE es responsable de recuperar y ejecutar módulos en la máquina infectada. Utiliza principalmente HTTP para descargar archivos de un dominio configurado, con una IP de respaldo si los dominios no están disponibles. FTP sirve como protocolo secundario y utiliza credenciales integradas para mayor redundancia.
Limpieza y persistencia del sistema
El script descarga y ejecuta clearn.png, un componente diseñado para eliminar restos de infecciones anteriores. Limpia archivos maliciosos ubicados en directorios como C:\Program Files\Common Files\System\ado y C:\PROGRA 1\COMÚN 1\Sistema\ado. Además, elimina las tareas programadas denominadas:
- Trabajo de asistencia de Microsoft
- Trabajo del Centro de ayuda del sistema
- SystemFlushDns
- SystemFlashDnsSrv
Los artefactos de estas tareas programadas pueden indicar infecciones previas.
Importancia de eliminar el malware GhostEngine
Eliminar GhostEngine Malware es crucial para evitar que su sistema sea explotado para criptominería. La criptominería sin consentimiento puede ralentizar significativamente su computadora y generar un mayor consumo de energía y costos.
Protegiendo su información
Garantizar la eliminación de este malware ayuda a proteger la información de su sistema para que no se comparta con actores malintencionados, salvaguardando así sus datos personales y profesionales.
