GhostEngine Malware forsøker å bruke datamaskinen til kryptomining
GhostEngine Malware er et sofistikert inntrengningssett som integrerer ulike ondsinnede moduler, bruker sårbare drivere for å deaktivere sikkerhetsløsninger og lette kryptominering. Denne skadelige programvaren, referert til som REF4578, bruker GHOSTENGINE som primær nyttelast. Forskere har også identifisert deler av dette inntrengningssettet under navnet HIDDENSHOVEL.
Table of Contents
Nøkkelfunksjoner og taktikker
Beredskaps- og dupliseringsmekanismer
GhostEngine Malware-forfattere har innlemmet en rekke beredskaps- og dupliseringsmekanismer for å sikre motstandskraft og utholdenhet. Disse mekanismene bidrar til å opprettholde skadevarens funksjonalitet selv om deler av operasjonen blir forstyrret.
Deaktivere sikkerhetsløsninger
GHOSTENGINE utnytter sårbare drivere for å avslutte og slette kjente Endpoint Detection and Response (EDR)-agenter. Dette trinnet er avgjørende for å tillate utplassering av myntgruvearbeideren uten forstyrrelser fra sikkerhetsprogramvare.
Denne skadevarekampanjen viser et uvanlig kompleksitetsnivå for å sikre installasjonen og utholdenheten til XMRIG-gruvearbeideren. Det begynner med kjøringen av en PE-fil kalt Tiworker.exe, som utgir seg for å være den legitime Windows TiWorker.exe. Denne handlingen utløser en sekvens av ondsinnede aktiviteter.
Infeksjon og utførelsesprosess
Ved kjøring laster Tiworker.exe-filen ned og kjører et PowerShell-skript som orkestrerer hele inntrengingsflyten. Denne binære filen kjører en hardkodet PowerShell-kommando for å hente et obfuskert skript, get.png, som laster ned tilleggsverktøy, moduler og konfigurasjoner fra angriperens kommando- og kontrollserver (C2).
GHOSTENGINE er ansvarlig for å hente og utføre moduler på den infiserte maskinen. Den bruker først og fremst HTTP for å laste ned filer fra et konfigurert domene, med en backup-IP hvis domener ikke er tilgjengelige. FTP fungerer som en sekundær protokoll, og bruker innebygd legitimasjon for ekstra redundans.
Systemopprydding og utholdenhet
Skriptet laster ned og kjører clearn.png, en komponent designet for å fjerne rester av tidligere infeksjoner. Den renser ondsinnede filer i kataloger som C:\Program Files\Common Files\System\ado og C:\PROGRA 1\FELLES 1\System\ado. I tillegg fjerner den planlagte oppgaver kalt:
- Microsoft Assist jobb
- Systemhjelpesenter jobb
- SystemFlushDns
- SystemFlashDnsSrv
Artefakter av disse planlagte oppgavene kan indikere tidligere infeksjoner.
Viktigheten av å fjerne GhostEngine Malware
Å fjerne GhostEngine Malware er avgjørende for å forhindre at systemet ditt blir utnyttet til kryptominering. Cryptomining uten samtykke kan redusere hastigheten på datamaskinen din betydelig og føre til økt energiforbruk og kostnader.
Beskytte informasjonen din
Å sikre fjerning av denne skadelige programvaren bidrar til å beskytte systemets informasjon fra å bli delt med ondsinnede aktører, og dermed beskytte dine personlige og profesjonelle data.
