Криптоджекер GhostEngine обходит EDR в Windows с помощью уязвимых драйверов

Криптоджекер GhostEngine обходит EDR в Windows с помощью уязвимых драйверов

Криптоджекер GhostEngine обходит EDR в Windows с помощью уязвимых драйверов

Вредонос GhostEngine, распространяемый в рамках кампании с кодовым именем REF4578, загружает уязвимые драйверы ядра для отключения EDR-защиты Windows и установки майнера XMRig. Способ взлома серверов и количество жертв неизвестны.

В Elastic Security Labs изучили цепочку заражения и отметили чрезмерную сложность развертывания зловреда и обеспечения его постоянного присутствия в системе. Связанный с REF4578 монеро-кошелек, который удалось выявить, за три месяца суммарно собрал $60,7 и до сих пор активен.

Атака начинается с исполнения Tiworker.exe — скрипта PowerShell, замаскированного под легитимный инсталлятор модулей Windows. Этот стейджер получает с C2-сервера файл get.png с основным загрузчиком GhostEngine.

Второй PowerShell-сценарий загружает дополнительные инструменты, модули, конфигурационные данные. Он также отключает Microsoft Defender, открывает удаленный доступ к системе, чистит журналы Windows, проверяет доступную память (ему нужно не менее 10 Мбайт на диске для дальнейших действий) и создает запланированные задания в обеспечение постоянного присутствия (OneDriveCloudSync, DefaultBrowserUpdate и OneDriveCloudBackup).

Закончив приготовления, лоадер скачивает и запускает smartsscreen.exe — основную полезную нагрузку GhostEngine. Вредоносный экзешник, в свою очередь, готовит почву для криптомайнера: загружает уязвимые драйверы aswArPot.sys (модуль Avast, который с использует также AvosLocker) и IObitUnlocker.sys (Iobit — бесплатный чистильщик Windows) и с их помощью прибивает EDR-процессы и удаляет соответствующие файлы.

Параллельно на сервер загружается oci.dll (с привлечением Windows-службы MSDTC). Этот компонент отвечает за обновление GhostEngine.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники стали в 16 раз чаще звонить с поддельных номеров из-за рубежа

За последнюю неделю количество фейковых звонков с иностранных номеров в Россию выросло в 16 раз. Об этом рассказали в Сбере. Всплеск удалось заметить в том числе благодаря пользователям, которые отправляли жалобы через раздел «Сообщи о мошеннике» в приложении СберБанк Онлайн.

Такие звонки — не новость: злоумышленники давно используют облачные АТС, где можно быстро взять в аренду номер с кодом другой страны.

Чаще всего — европейских. Иногда — стран с «похожими» номерами (например, +84 95), чтобы выглядело более правдоподобно. Всё это делается через IP-телефонию, что позволяет обходиться без операторов сотовой связи и затрудняет блокировку.

Зампред правления Сбера Станислав Кузнецов отметил, что несмотря на резкий рост таких звонков, в общем объёме мошеннических вызовов их пока немного. Антифрод-система банка их фиксирует и ставит подозрительные операции на усиленный контроль — благодаря этому удаётся избегать хищений.

Но в банке всё равно призывают не терять бдительность:

«Если вам звонят с незнакомого номера из-за границы — просто не отвечайте. Если у вас нет родных или деловых контактов за рубежом, то такие звонки почти наверняка мошеннические».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru