Le logiciel malveillant GhostEngine tente d'utiliser votre ordinateur pour le cryptomining
GhostEngine Malware est un ensemble d'intrusions sophistiqué qui intègre divers modules malveillants, utilisant des pilotes vulnérables pour désactiver les solutions de sécurité et faciliter le cryptomining. Ce malware, appelé REF4578, utilise GHOSTENGINE comme charge utile principale. Les chercheurs ont également identifié des parties de cet ensemble d'intrusions sous le nom de HIDDENSHOVEL.
Table of Contents
Principales fonctionnalités et tactiques
Mécanismes de contingence et de duplication
Les auteurs de GhostEngine Malware ont incorporé de nombreux mécanismes de contingence et de duplication pour garantir la résilience et la persistance. Ces mécanismes permettent de maintenir les fonctionnalités du logiciel malveillant même si certaines parties de l'opération sont perturbées.
Désactivation des solutions de sécurité
GHOSTENGINE exploite les pilotes vulnérables pour mettre fin et supprimer les agents Endpoint Detection and Response (EDR) connus. Cette étape est cruciale pour permettre le déploiement du mineur de pièces sans interférence du logiciel de sécurité.
Cette campagne de malware présente un niveau de complexité inhabituel pour garantir l'installation et la persistance du mineur XMRIG. Cela commence par l'exécution d'un fichier PE nommé Tiworker.exe, qui se fait passer pour le Windows TiWorker.exe légitime. Cette action déclenche une séquence d'activités malveillantes.
Processus d’infection et d’exécution
Lors de son exécution, le fichier Tiworker.exe télécharge et exécute un script PowerShell qui orchestre l'ensemble du flux d'intrusion. Ce binaire exécute une commande PowerShell codée en dur pour récupérer un script obscurci, get.png, qui télécharge des outils, modules et configurations supplémentaires à partir du serveur de commande et de contrôle (C2) de l'attaquant.
GHOSTENGINE est responsable de la récupération et de l'exécution des modules sur la machine infectée. Il utilise principalement HTTP pour télécharger des fichiers à partir d'un domaine configuré, avec une adresse IP de sauvegarde si les domaines ne sont pas disponibles. FTP sert de protocole secondaire, utilisant des informations d'identification intégrées pour une redondance supplémentaire.
Nettoyage du système et persistance
Le script télécharge et exécute clearn.png, un composant conçu pour supprimer les restes d'infections antérieures. Il nettoie les fichiers malveillants situés dans des répertoires tels que C:\Program Files\Common Files\System\ado et C:\PROGRA 1\COMMUN 1\Système\ado. De plus, il supprime les tâches planifiées nommées :
- Tâche d'assistance Microsoft
- Emploi du centre d'aide système
- SystèmeFlushDns
- SystèmeFlashDnsSrv
Les artefacts de ces tâches planifiées peuvent indiquer des infections antérieures.
Importance de supprimer les logiciels malveillants GhostEngine
La suppression de GhostEngine Malware est cruciale pour empêcher que votre système soit exploité à des fins de cryptomining. Le cryptominage sans consentement peut ralentir considérablement votre ordinateur et entraîner une augmentation de la consommation d’énergie et des coûts.
Protection de vos informations
Assurer la suppression de ce malware permet de protéger les informations de votre système contre le partage avec des acteurs malveillants, protégeant ainsi vos données personnelles et professionnelles.
