Как хакеры добывают криптовалюту с помощью драйверов Avast

573     0
Как хакеры добывают криптовалюту с помощью драйверов Avast
Как хакеры добывают криптовалюту с помощью драйверов Avast

Специалисты Elastic Security Labs и Antiy выявили новую кампанию по добыче криптовалюты под кодовым названием REF4578, в ходе которой вредоносное ПО GhostEngine использует уязвимые драйверы для отключения антивирусных программ и запуска майнера XMRig.

Elastic Security Labs и Antiy отметили высокую степень сложности атаки. В своих отчетах компании поделились правилами обнаружения угрозы, чтобы помочь защитникам обнаруживать и останавливать такие атаки. Однако ни один из отчетов не связывает деятельность с известными хакерскими группами и не предоставляет деталей о жертвах, поэтому происхождение и масштаб кампании остаются неизвестными.

Как действует GhostEngine

Пока неясно, каким образом злоумышленникам удается взломать серверы, однако атака начинается с выполнения файла Tiworker.exe, который маскируется под легитимный файл Windows. Исполняемый файл является первой стадией запуска GhostEngine, который представляет собой PowerShell-скрипт для загрузки различных модулей на зараженное устройство.

После запуска Tiworker.exe скачивает скрипт get.png с C2-сервера, который служит основным загрузчиком GhostEngine. PowerShell-скрипт загружает дополнительные модули и их конфигурации, отключает Windows Defender, включает удаленные службы и очищает различные журналы событий Windows.

Скрипт проверяет наличие как минимум 10 МБ свободного места на диске, чтобы продолжить заражение, и создает запланированные задачи для обеспечения устойчивости угрозы. Затем скрипт загружает и запускает исполняемый файл smartsscreen.exe – основное вредоносное ПО GhostEngine. Программа отключает и удаляет EDR-решения, а также загружает и запускает XMRig для майнинга криптовалюты.

Для отключения программ защиты GhostEngine загружает 2 уязвимых драйвера: aswArPots.sys (драйвер Avast) для завершения процессов EDR и IObitUnlockers.sys (драйвер Iobit) для удаления связанных исполняемых файлов.

 uriqzeiqqiuhdrm qhiquqihqirxrps

Цепочка заражения GhostEngine

Меры по защите от GhostEngine

Специалисты Elastic рекомендуют защитникам обратить внимание на подозрительные выполнения PowerShell, необычную активность процессов и сетевой трафик, указывающий на криптовалютные пулы. Также использование уязвимых драйверов и создание связанных служб ядра должно вызывать подозрения.

Превентивной мерой защиты является блокировка создания файлов уязвимыми драйверами, такими как aswArPots.sys и IobitUnlockers.sys. Elastic Security также предоставила правила YARA в своем отчете, чтобы помочь защитникам выявлять инфекции GhostEngine.

Хотя исследователи не обнаружили значительных сумм на единственном изученном платежном ID, существует вероятность, что каждый пострадавший пользователь имеет уникальный кошелек, и общий финансовый ущерб может быть значительным.

Теги: Elastic Security Labs,Antiy,ПО GhostEngine,Криптовалюты,Криптобиржи,Кибербезопасность,Хакерские Атаки,
Регион: США,

Читайте по теме:

Курс биткоина превысил 98 тысяч долларов и снова обновил исторический максимум
Журналист Иван Сафронов исключен из списка обмена заключенными из-за сфабрикованных обвинений
Гетц отказывается от поста генпрокурора США
Блокировка активов: Более 100 российских и зарубежных организаций попали под санкции США
Эллен Дедженерес уехала из США: подтолкнуло разочарование в победе Трампа
Ярослав Ширшиков попросил не включать его в список на обмен заключенными
Депутаты Франции стали жертвами мошенничества через взлом Telegram-аккаунтов
Трамп выбирает радикалов на ключевые посты в своей администрации
Суд приговорил Хизер Морган к тюремному заключению за участие в мошенничестве с криптовалютой
Microsoft закрепилась на госрынке с помощью стратегии «предложения Белого дома»