Хакери навчилися непомітно викрадати криптовалюту за допомогою драйверів Avast

Фахівці Elastic Security Labs разом зі спеціалістами Antiy виявили нову злочинну кампанію з видобутку криптовалюти під кодовою назвою REF4578. Шкідливе ПЗ GhostEngine використовує вразливі драйвери для відключення антивірусних програм і запуску майнера XMRig.

Elastic Security Labs і Antiy відзначили високий ступінь складності атаки. У своїх звітах компанії поділилися правилами виявлення загрози, щоби виявляти і зупиняти такі атаки. Однак жоден зі звітів не пов’язує діяльність із відомими хакерськими групами та не надає деталей про жертв, тому походження та масштаб кампанії залишаються невідомими.

Наразі незрозуміло, яким чином зловмисникам вдається зламати сервери, однак атака розпочинається з виконання файлу Tiworker. exe, який маскується під легітимний файл Windows. Виконуваний файл є першою стадією запуску GhostEngine, який являє собою PowerShell-скрипт для завантаження різних модулів на заражений пристрій.

Після запуску Tiworker. exe завантажує скрипт get. png з C2-сервера, який служить основним завантажувачем GhostEngine. PowerShell-скрипт завантажує додаткові модулі та їхні конфігурації, вимикає Windows Defender, вмикає віддалені служби та очищає різні журнали подій Windows.

Скрипт перевіряє наявність як мінімум 10 МБ вільного місця на диску, щоб продовжити зараження, і створює заплановані завдання для забезпечення стійкості загрози. Потім скрипт завантажує і запускає виконуваний файл smartsscreen. exe — основне шкідливе ПЗ GhostEngine. Програма відключає і видаляє EDR-рішення, а також завантажує і запускає XMRig для майнінгу криптовалюти.

Для вимкнення програм захисту GhostEngine завантажує 2 вразливі драйвери: aswArPots. sys (драйвер Avast) для завершення процесів EDR і IObitUnlockers. sys (драйвер Iobit) для видалення пов’язаних виконуваних файлів.

Фахівці Elastic рекомендують користувачам звернути увагу на підозрілі виконання PowerShell, незвичайну активність процесів і мережевий трафік, що вказує на криптовалютні пули. Також використання вразливих драйверів і створення пов’язаних служб ядра має викликати підозри.

Превентивним заходом захисту є блокування створення файлів вразливими драйверами, такими як aswArPots. sys і IobitUnlockers.sys. Elastic Security також надала правила YARA у своєму звіті, щоб допомогти захисникам виявляти інфекції GhostEngine.

Хоча дослідники не виявили значних сум на єдиному вивченому платіжному ID, існує ймовірність, що кожен постраждалий користувач має унікальний гаманець, і загальний фінансовий збиток може бути значним.