O malware GhostEngine tenta usar seu computador para criptomineração
O GhostEngine Malware é um conjunto sofisticado de intrusões que integra vários módulos maliciosos, utilizando drivers vulneráveis para desabilitar soluções de segurança e facilitar a criptomineração. Este malware, conhecido como REF4578, emprega GHOSTENGINE como sua carga principal. Os pesquisadores também identificaram partes desse conjunto de intrusão sob o nome de HIDDENSHOVEL.
Table of Contents
Principais recursos e táticas
Mecanismos de Contingência e Duplicação
Os autores do GhostEngine Malware incorporaram vários mecanismos de contingência e duplicação para garantir resiliência e persistência. Esses mecanismos ajudam a manter a funcionalidade do malware mesmo que partes da operação sejam interrompidas.
Desativando soluções de segurança
GHOSTENGINE aproveita drivers vulneráveis para encerrar e excluir agentes conhecidos de detecção e resposta de endpoint (EDR). Esta etapa é crucial para permitir a implantação do minerador de moedas sem interferência de software de segurança.
Esta campanha de malware exibe um nível incomum de complexidade para garantir a instalação e persistência do minerador XMRIG. Ele começa com a execução de um arquivo PE chamado Tiworker.exe, que se disfarça como o TiWorker.exe legítimo do Windows. Esta ação desencadeia uma sequência de atividades maliciosas.
Processo de infecção e execução
Após a execução, o arquivo Tiworker.exe baixa e executa um script do PowerShell que orquestra todo o fluxo de intrusão. Este binário executa um comando do PowerShell codificado para recuperar um script ofuscado, get.png, que baixa ferramentas, módulos e configurações adicionais do servidor de comando e controle (C2) do invasor.
GHOSTENGINE é responsável por recuperar e executar módulos na máquina infectada. Ele usa principalmente HTTP para baixar arquivos de um domínio configurado, com um IP de backup se os domínios não estiverem disponíveis. O FTP serve como protocolo secundário, usando credenciais incorporadas para maior redundância.
Limpeza e persistência do sistema
O script baixa e executa clearn.png, um componente projetado para remover vestígios de infecções anteriores. Ele limpa arquivos maliciosos localizados em diretórios como C:\Program Files\Common Files\System\ado e C:\PROGRA 1\COMUM 1\Sistema\ado. Além disso, remove tarefas agendadas denominadas:
- Trabalho de assistência da Microsoft
- Trabalho da Central de Ajuda do Sistema
- SystemFlushDns
- SistemaFlashDnsSrv
Os artefatos dessas tarefas agendadas podem indicar infecções anteriores.
Importância da remoção do malware GhostEngine
A remoção do malware GhostEngine é crucial para evitar que seu sistema seja explorado para criptografia. A criptomineração sem consentimento pode tornar o seu computador significativamente mais lento e aumentar o consumo de energia e os custos.
Protegendo suas informações
Garantir a remoção desse malware ajuda a proteger as informações do seu sistema contra o compartilhamento com atores mal-intencionados, protegendo assim seus dados pessoais e profissionais.
