Вредоносная программа GhostEngine пытается использовать ваш компьютер для майнинга криптовалют
GhostEngine Malware — это сложный набор средств защиты от вторжений, который объединяет различные вредоносные модули и использует уязвимые драйверы для отключения решений безопасности и облегчения майнинга криптовалют. Это вредоносное ПО, получившее название REF4578, использует GHOSTENGINE в качестве основной полезной нагрузки. Исследователи также идентифицировали части этого набора вторжений под названием HIDDENSHOVEL.
Table of Contents
Ключевые особенности и тактика
Механизмы непредвиденных обстоятельств и дублирования
Авторы вредоносного ПО GhostEngine включили многочисленные механизмы резервного копирования и дублирования для обеспечения устойчивости и устойчивости. Эти механизмы помогают поддерживать функциональность вредоносного ПО, даже если отдельные его части нарушены.
Отключение решений безопасности
GHOSTENGINE использует уязвимые драйверы для завершения и удаления известных агентов Endpoint Detection and Response (EDR). Этот шаг имеет решающее значение для обеспечения возможности развертывания майнера монет без вмешательства защитного программного обеспечения.
Эта вредоносная кампания демонстрирует необычный уровень сложности для обеспечения установки и устойчивости майнера XMRIG. Он начинается с выполнения PE-файла с именем Tiworker.exe, который маскируется под законный Windows TiWorker.exe. Это действие запускает последовательность вредоносных действий.
Процесс заражения и выполнения
После выполнения файл Tiworker.exe загружает и выполняет сценарий PowerShell, который управляет всем процессом вторжения. Этот двоичный файл запускает жестко запрограммированную команду PowerShell для получения запутанного сценария get.png, который загружает дополнительные инструменты, модули и конфигурации с сервера управления и контроля (C2) злоумышленника.
GHOSTENGINE отвечает за получение и выполнение модулей на зараженной машине. В основном он использует HTTP для загрузки файлов из настроенного домена с резервным IP-адресом, если домены недоступны. FTP выступает в качестве вторичного протокола, используя встроенные учетные данные для дополнительной избыточности.
Очистка и сохранение системы
Скрипт загружает и запускает Clearn.png — компонент, предназначенный для удаления остатков предыдущих заражений. Он очищает вредоносные файлы, расположенные в таких каталогах, как C:\Program Files\Common Files\System\ado и C:\PROGRA. 1\ОБЩИЙ 1\Система\адо. Кроме того, он удаляет запланированные задачи с именами:
- Microsoft Assist Работа
- Работа в Справочном центре системы
- СистемаФлешДнс
- СистемаФлешДнсСрв
Артефакты этих запланированных задач могут указывать на предыдущие заражения.
Важность удаления вредоносного ПО GhostEngine
Удаление вредоносного ПО GhostEngine имеет решающее значение для предотвращения использования вашей системы для майнинга криптовалют. Криптомайнинг без согласия может значительно замедлить работу вашего компьютера и привести к увеличению энергопотребления и затрат.
Защита вашей информации
Обеспечение удаления этого вредоносного ПО помогает защитить информацию вашей системы от передачи злоумышленникам, тем самым защищая ваши личные и профессиональные данные.
