Złośliwe oprogramowanie GhostEngine próbuje wykorzystać Twój komputer do wydobywania kryptowalut
GhostEngine Malware to wyrafinowany zestaw włamań, który integruje różne szkodliwe moduły i wykorzystuje podatne sterowniki w celu wyłączenia rozwiązań zabezpieczających i ułatwienia wydobywania kryptowalut. Szkodnik ten, określany jako REF4578, wykorzystuje GHOSTENGINE jako swój główny ładunek. Badacze zidentyfikowali także części tego zestawu intruzów pod nazwą HIDDENSHOVEL.
Table of Contents
Kluczowe cechy i taktyka
Mechanizmy awaryjne i powielania
Autorzy złośliwego oprogramowania GhostEngine wprowadzili liczne mechanizmy awaryjne i duplikacyjne, aby zapewnić odporność i trwałość. Mechanizmy te pomagają utrzymać funkcjonalność szkodliwego oprogramowania, nawet jeśli część operacji zostanie zakłócona.
Wyłączanie rozwiązań zabezpieczających
GHOSTENGINE wykorzystuje podatne sterowniki do kończenia i usuwania znanych agentów Endpoint Detection and Response (EDR). Ten krok jest kluczowy, aby umożliwić wdrożenie koparki monet bez ingerencji oprogramowania zabezpieczającego.
Ta kampania złośliwego oprogramowania wykazuje niezwykły poziom złożoności, aby zapewnić instalację i trwałość koparki XMRIG. Rozpoczyna się wykonaniem pliku PE o nazwie Tiworker.exe, który udaje legalny plik Windows TiWorker.exe. Ta akcja uruchamia sekwencję szkodliwych działań.
Proces infekcji i wykonania
Po uruchomieniu plik Tiworker.exe pobiera i uruchamia skrypt PowerShell, który koordynuje cały przepływ włamań. Ten plik binarny uruchamia zakodowane na stałe polecenie PowerShell w celu pobrania zaciemnionego skryptu get.png, który pobiera dodatkowe narzędzia, moduły i konfiguracje z serwera dowodzenia i kontroli (C2) atakującego.
GHOSTENGINE jest odpowiedzialny za odzyskanie i wykonanie modułów na zainfekowanej maszynie. Używa przede wszystkim protokołu HTTP do pobierania plików ze skonfigurowanej domeny, z zapasowym adresem IP, jeśli domeny są niedostępne. FTP służy jako protokół dodatkowy, korzystając z wbudowanych poświadczeń w celu dodatkowej redundancji.
Oczyszczanie i trwałość systemu
Skrypt pobiera i uruchamia clearn.png, komponent przeznaczony do usuwania pozostałości wcześniejszych infekcji. Czyści złośliwe pliki znajdujące się w katalogach takich jak C:\Program Files\Common Files\System\ado i C:\PROGRA 1\WSPÓLNY 1\System\ado. Dodatkowo usuwa zaplanowane zadania o nazwach:
- Zadanie Asystenta Microsoft
- Zadanie Centrum pomocy systemu
- SystemFlushDns
- SystemFlashDnsSrv
Artefakty tych zaplanowanych zadań mogą wskazywać na wcześniejsze infekcje.
Znaczenie usuwania złośliwego oprogramowania GhostEngine
Usunięcie złośliwego oprogramowania GhostEngine ma kluczowe znaczenie, aby zapobiec wykorzystaniu systemu do wydobywania kryptowalut. Wydobywanie kryptowalut bez zgody może znacznie spowolnić Twój komputer i prowadzić do zwiększonego zużycia energii i kosztów.
Ochrona Twoich informacji
Zapewnienie usunięcia tego złośliwego oprogramowania pomaga chronić informacje systemu przed udostępnieniem złośliwym podmiotom, chroniąc w ten sposób Twoje dane osobiste i zawodowe.
