Бестелесный вредонос-майнер устраняет конкурентов в зараженной системе

Бестелесный вредонос-майнер устраняет конкурентов в зараженной системе

Команда Minerva Lab обнаружила вредоносный майнер, получивший название GhostMiner. Этот зловред примечателен тем, что он перенял все передовые вредоносные техники у других программ. Отличительной особенностью этого майнера являются так называемые бестелесные атаки.

Цель GhostMiner — добыть криптовалюту Monero, майнер использует фреймфорки PowerShell — Out-CompressedDll и Invoke-ReflectivePEInjection — которые позволяют осуществлять бестелесные атаки, скрывая тем самым вредоносный код.

Каждый из компонентов GhostMiner был разработан для своей цели. Один сценарий PowerShell обеспечивает распространение на новые машины, а другой осуществляет непосредственно майнинг криптовалюты.

«Используемый злоумышленниками подход крайне эффективен, он позволяет обойти многие антивирусные решения. Некоторые пейлоады, которые нам удалось достать, не детектировались ни одним из антивирусов», — рассказывают эксперты Minerva Labs.

Однако специалисты также отметили, что после того, как бестелесный модуль был удален, большинство антивирусов на VirusTotal сразу стали детектировать вредоносную программу. Вредоносный скрипт PowerShell, который отвечает за заражение новых систем, атакует серверы, на которых запущены Oracle WebLogic (используется уязвимость CVE-2017-10271), MSSQL и phpMyAdmin.

Связь с командным центром C&C осуществляется по HTTP, все запросы и ответы кодируются с помощью Base64. Компонент, ответственный за майнинг, представляет собой слегка модифицированную версию майнера с открытым исходным кодом XMRig.

По заявления Minerva Labs, вредоносная кампания длилась около трех недель, однако киберпреступникам не удалось много разработать — всего 1.03 Monero (около 200 долларов США). Вывод о вырученной сумме исследователи сделали, проанализировав кошелек, используемый злоумышленниками, однако социалисты отмечают, что также могут существовать и другие кошельки, так что заработанная преступниками сумма может быть больше.

Помимо этого, эксперты отметили еще одну интересную особенность GhostMiner — на зараженной машине он ищет и завершает процессы майнеров-конкурентов, за что отвечает PowerShell-команда «Stop-Process -force».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Все об уязвимостях платежных систем на OFFZONE 2022

25–26 августа в Москве состоится третья международная конференция по практической кибербезопасности OFFZONE 2022. Мероприятие пройдет в LOFT HALL #2 и #3 и соберет на своей площадке участников профессионального комьюнити и всех неравнодушных.

На протяжении двух дней параллельно с основной программой на конференции будут работать профильные зоны. Finance.Zone предназначена для тех, кому интересна безопасность банковских и платежных систем. В этом году секция пройдет при партнерстве Payment Village.

В докладной части финансовой зоны специалисты по безопасности расскажут про уязвимости банковских приложений, POS-терминалов и банкоматов, а также про безопасность криптовалюты и смарт-контрактов.

Участники конкурсных активностей самостоятельно протестируют систему защиты банкомата, онлайн-банка и платежных карт. Для конкурса с банкоматом и онлайн-банком потребуется ноутбук с доступом в интернет. Самых способных ждут призы.

OFFZONE проходит в Москве с 2018 года. Она объединяет безопасников, разработчиков, инженеров, исследователей, преподавателей и студентов из десятков стран мира. В центре внимания — только технический контент, посвященный актуальным темам отрасли. Предыдущую конференцию посетили 1600 человек, а своим опытом с участниками поделились более 60 российских и зарубежных экспертов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru