Il malware GhostEngine tenta di utilizzare il tuo computer per criptomining
GhostEngine Malware è un sofisticato set di intrusioni che integra vari moduli dannosi, utilizzando driver vulnerabili per disabilitare soluzioni di sicurezza e facilitare il cryptomining. Questo malware, denominato REF4578, utilizza GHOSTENGINE come carico utile principale. I ricercatori hanno anche identificato parti di questo set di intrusioni sotto il nome HIDDENSHOVEL.
Table of Contents
Caratteristiche principali e tattiche
Meccanismi di contingenza e duplicazione
Gli autori di GhostEngine Malware hanno incorporato numerosi meccanismi di contingenza e duplicazione per garantire resilienza e persistenza. Questi meccanismi aiutano a mantenere la funzionalità del malware anche se alcune parti dell'operazione vengono interrotte.
Disattivazione delle soluzioni di sicurezza
GHOSTENGINE sfrutta i driver vulnerabili per terminare ed eliminare gli agenti EDR (Endpoint Detection and Response) noti. Questo passaggio è fondamentale per consentire l'implementazione del coin miner senza interferenze da parte del software di sicurezza.
Questa campagna malware presenta un livello di complessità insolito per garantire l'installazione e la persistenza del minatore XMRIG. Inizia con l'esecuzione di un file PE denominato Tiworker.exe, che si maschera da legittimo Windows TiWorker.exe. Questa azione innesca una sequenza di attività dannose.
Processo di infezione ed esecuzione
Al momento dell'esecuzione, il file Tiworker.exe scarica ed esegue uno script PowerShell che orchestra l'intero flusso di intrusione. Questo binario esegue un comando PowerShell hardcoded per recuperare uno script offuscato, get.png, che scarica strumenti, moduli e configurazioni aggiuntivi dal server di comando e controllo (C2) dell'aggressore.
GHOSTENGINE è responsabile del recupero e dell'esecuzione dei moduli sulla macchina infetta. Utilizza principalmente HTTP per scaricare file da un dominio configurato, con un IP di backup se i domini non sono disponibili. FTP funge da protocollo secondario e utilizza credenziali integrate per una maggiore ridondanza.
Pulizia e persistenza del sistema
Lo script scarica ed esegue clearn.png, un componente progettato per rimuovere i resti di infezioni precedenti. Pulisce i file dannosi che si trovano in directory come C:\Programmi\File comuni\System\ado e C:\PROGRA 1\COMUNE 1\Sistema\ado. Inoltre, rimuove le attività pianificate denominate:
- Lavoro Microsoft Assist
- Lavoro nel Centro assistenza di sistema
- SystemFlushDns
- SystemFlashDnsSrv
Gli artefatti di queste attività pianificate possono indicare infezioni precedenti.
Importanza di rimuovere il malware GhostEngine
La rimozione del malware GhostEngine è fondamentale per evitare che il tuo sistema venga sfruttato per il cryptomining. Il cryptomining senza consenso può rallentare notevolmente il tuo computer e comportare un aumento del consumo energetico e dei costi.
Protezione delle tue informazioni
Garantire la rimozione di questo malware aiuta a proteggere le informazioni del tuo sistema dalla condivisione con attori malintenzionati, salvaguardando così i tuoi dati personali e professionali.
