Logiciel malveillant GhostEngine
Une campagne d'attaque de crypto-minage nommée REF4578 a été découverte, déployant une charge utile menaçante nommée GhostEngine. Le malware est capable d'exploiter les pilotes vulnérables pour désactiver les produits de sécurité et déployer un mineur XMRig . Les chercheurs ont souligné la sophistication inhabituelle de ces attaques de crypto-minage en publiant des rapports contenant leurs conclusions. Cependant, jusqu'à présent, les experts n'ont attribué cette activité à aucun acteur connu de la menace et n'ont révélé aucun détail sur les cibles/victimes, de sorte que l'origine et la portée de la campagne restent inconnues.
Table des matières
Le logiciel malveillant GhostEngine commence son attaque en se faisant passer pour un fichier légitime
La méthode initiale de violation du serveur reste floue, mais l'attaque commence par l'exécution d'un fichier nommé « Tiworker.exe », qui se présente comme un fichier Windows légitime. Cet exécutable sert de charge utile de préparation initiale pour GhostEngine, un script PowerShell conçu pour télécharger divers modules pour différentes activités nuisibles sur l'appareil infecté.
Lors de son exécution, Tiworker.exe télécharge un script PowerShell nommé « get.png » à partir du serveur Command-and-Control (C2) de l'attaquant, agissant comme chargeur principal pour GhostEngine. Ce script récupère des modules supplémentaires et leurs configurations, désactive Windows Defender, active les services à distance et efface divers journaux d'événements Windows.
Par la suite, get.png vérifie au moins 10 Mo d'espace libre sur le système, condition nécessaire à la progression de l'infection, et crée des tâches planifiées nommées « OneDriveCloudSync », « DefaultBrowserUpdate » et « OneDriveCloudBackup » pour garantir la persistance.
Le logiciel malveillant GhostEngine peut arrêter le logiciel de sécurité sur les appareils des victimes
Le script PowerShell procède au téléchargement et à l'exécution d'un exécutable nommé smartsscreen.exe, qui sert de charge utile principale de GhostEngine. Ce malware est chargé de mettre fin et de supprimer le logiciel Endpoint Detection and Response (EDR), ainsi que de télécharger et de lancer XMRig pour exploiter la crypto-monnaie. Pour désactiver le logiciel EDR, GhostEngine utilise deux pilotes de noyau vulnérables : aswArPots.sys (un pilote Avast) pour terminer les processus EDR et IObitUnlockers.sys (un pilote IObit) pour supprimer les exécutables correspondants.
Pour des raisons de persistance, une DLL nommée « oci.dll » est chargée par un service Windows appelé « msdtc ». Lors de l'activation, cette DLL télécharge une nouvelle copie de « get.png » pour installer la dernière version de GhostEngine sur la machine.
Étant donné la possibilité que chaque victime se voie attribuer un portefeuille unique, les gains financiers découlant des attaques de logiciels malveillants GhostEngine pourraient être substantiels.
Mesures de sécurité recommandées contre le logiciel malveillant GhostEngine Miner
Les chercheurs recommandent aux défenseurs de rester vigilants face aux indicateurs tels que les exécutions suspectes de PowerShell, les activités de processus inhabituelles et le trafic réseau dirigé vers les pools de minage de cryptomonnaie. De plus, le déploiement de pilotes vulnérables et la création de services en mode noyau associés doivent être traités comme des signes d’avertissement importants dans tout système. À titre de mesure proactive, le blocage de la création de fichiers à partir de pilotes vulnérables, tels que aswArPots.sys et IobitUnlockers.sys, peut contribuer à atténuer ces menaces.
