Хакеры нашли способ установить криптомайнеры на ваши устройства, даже если у вас установлен антивирус.
Кампания была недавно обнаружена исследователями кибербезопасности из Elastic Security Labs и Antiy, которые назвали ее REF4578, но не смогли связать ее с каким-либо конкретным или известным злоумышленником.
Кампания проводится путем установки на конечную точку уязвимого драйвера, который может отключить и в конечном итоге удалить любые антивирусные программы, установленные на вашем устройстве. Как только это будет сделано, вредоносная программа удалит XMRig, один из самых популярных майнеров криптовалюты на рынке. Кроме того, жертвы, судя по всему, не подвергаются атаке, и трудно точно определить, сколько компьютеров было заражено.
Майнинг криптовалют
Исследователи не знают точно, как злоумышленники распространяют вредоносное ПО, но есть обоснованное предположение, что они могут использовать либо фишинг, социальные сети и обмен мгновенными сообщениями, либо отравление рекламой и кражу личных данных.
Независимо от метода, жертвам сначала загружается EXE-файл под названием Tiworker, который маскируется под настоящий файл Windows. В этом файле размещается сценарий PowerShell под названием GhostEngine, который, в свою очередь, выполняет ряд различных действий.
Сюда входит загрузка двух уязвимых драйверов ядра: aswArPots.sys (драйвер Avast), который используется для завершения процессов Endpoint Detection and Response (EDR), и IObitUnlockers.sys (драйвер Iobit), который удаляет связанные исполняемые файлы.
GhostEngine также может отключить Защитник Windows, включить удаленные службы и очистить различные журналы событий Windows.
Когда процесс будет завершен и все будет ясно, GhostEngine наконец развернет XMRig, известный майнер криптовалюты. Этот популярный среди киберпреступников инструмент тайно добывает криптовалюту Monero (XMR), известную своей конфиденциальностью и псевдонимностью.
Чтобы защитить конечные точки, исследователи предлагают ИТ-командам обращать внимание на подозрительные выполнения PowerShell, необычную активность процессов и любой сетевой трафик, указывающий на пулы для майнинга криптовалюты.
Над ПипКомпьютер
Больше от TechRadar Pro
