GhostEngine skadlig programvara försöker använda din dator för kryptominering

GhostEngine Malware är en sofistikerad intrångsuppsättning som integrerar olika skadliga moduler, som använder sårbara drivrutiner för att inaktivera säkerhetslösningar och underlätta kryptominering. Denna skadliga programvara, kallad REF4578, använder GHOSTENGINE som sin primära nyttolast. Forskare har också identifierat delar av denna intrångsuppsättning under namnet HIDDENSHOVEL.

Nyckelfunktioner och taktik

Beredskaps- och dupliceringsmekanismer

GhostEngine-malware-författare har införlivat många mekanismer för beredskap och duplicering för att säkerställa motståndskraft och uthållighet. Dessa mekanismer hjälper till att upprätthålla skadlig programvaras funktionalitet även om delar av verksamheten störs.

Inaktivera säkerhetslösningar

GHOSTENGINE utnyttjar sårbara drivrutiner för att avsluta och ta bort kända Endpoint Detection and Response (EDR)-agenter. Detta steg är avgörande för att tillåta utplaceringen av myntgruvarbetaren utan störningar från säkerhetsprogramvara.

Denna skadliga kampanj uppvisar en ovanlig nivå av komplexitet för att säkerställa installationen och uthålligheten av XMRIG-gruvarbetaren. Det börjar med körningen av en PE-fil med namnet Tiworker.exe, som utger sig som den legitima Windows TiWorker.exe. Denna åtgärd utlöser en sekvens av skadliga aktiviteter.

Infektion och utförandeprocess

Vid körning laddar filen Tiworker.exe ned och kör ett PowerShell-skript som orkestrerar hela intrångsflödet. Den här binären kör ett hårdkodat PowerShell-kommando för att hämta ett obfuskerat skript, get.png, som laddar ner ytterligare verktyg, moduler och konfigurationer från angriparens kommando- och kontrollserver (C2).

GHOSTENGINE ansvarar för att hämta och köra moduler på den infekterade maskinen. Den använder i första hand HTTP för att ladda ner filer från en konfigurerad domän, med en backup-IP om domäner inte är tillgängliga. FTP fungerar som ett sekundärt protokoll och använder inbäddade referenser för extra redundans.

Systemrensning och uthållighet

Skriptet laddar ner och kör clearn.png, en komponent utformad för att ta bort rester av tidigare infektioner. Det rensar skadliga filer som finns i kataloger som C:\Program Files\Common Files\System\ado och C:\PROGRA 1\VANLIG 1\System\ado. Dessutom tar det bort schemalagda uppgifter med namnet:

• Microsoft Assist jobb
• Systemhjälpcenter jobb
• SystemFlushDns
• SystemFlashDnsSrv

Artefakter av dessa schemalagda uppgifter kan indikera tidigare infektioner.

Vikten av att ta bort GhostEngine Malware

Att ta bort GhostEngine Malware är avgörande för att förhindra att ditt system utnyttjas för kryptominering. Cryptomining utan samtycke kan avsevärt sakta ner din dator och leda till ökad energiförbrukning och kostnader.

Skydda din information

Att säkerställa att denna skadliga programvara tas bort hjälper till att skydda ditt systems information från att delas med illvilliga aktörer, och skyddar därmed dina personliga och professionella data.