Software malicioso de motor fantasma
Se ha descubierto una campaña de ataque de criptominería con nombre en código REF4578 que implementa una carga útil amenazante llamada GhostEngine. El malware es capaz de explotar controladores vulnerables para desactivar productos de seguridad e implementar un minero XMRig . Los investigadores han subrayado la inusual sofisticación de estos ataques de criptominería al publicar informes con sus hallazgos. Sin embargo, hasta ahora, los expertos no han atribuido la actividad a ningún actor de amenaza conocido ni han revelado ningún detalle sobre los objetivos/víctimas, por lo que el origen y el alcance de la campaña siguen siendo desconocidos.
Tabla de contenido
El malware GhostEngine comienza su ataque haciéndose pasar por un archivo legítimo
El método inicial de vulneración del servidor aún no está claro, pero el ataque comienza con la ejecución de un archivo llamado 'Tiworker.exe', que se hace pasar por un archivo legítimo de Windows. Este ejecutable sirve como carga útil inicial para GhostEngine, un script de PowerShell diseñado para descargar varios módulos para diferentes actividades dañinas en el dispositivo infectado.
Tras la ejecución, Tiworker.exe descarga un script de PowerShell llamado 'get.png' del servidor de comando y control (C2) del atacante, que actúa como el cargador principal de GhostEngine. Este script recupera módulos adicionales y sus configuraciones, deshabilita Windows Defender, habilita servicios remotos y borra varios registros de eventos de Windows.
Posteriormente, get.png busca al menos 10 MB de espacio libre en el sistema, un requisito para avanzar la infección, y crea tareas programadas denominadas 'OneDriveCloudSync', 'DefaultBrowserUpdate' y 'OneDriveCloudBackup' para garantizar la persistencia.
El malware GhostEngine puede desactivar el software de seguridad en los dispositivos de las víctimas
El script de PowerShell procede a descargar y ejecutar un ejecutable llamado smartsscreen.exe, que sirve como carga útil principal de GhostEngine. Este malware tiene la tarea de terminar y eliminar el software Endpoint Detección y Respuesta (EDR) y descargar e iniciar XMRig para extraer criptomonedas. Para deshabilitar el software EDR, GhostEngine utiliza dos controladores de kernel vulnerables: aswArPots.sys (un controlador Avast) para finalizar los procesos EDR y IObitUnlockers.sys (un controlador IObit) para eliminar los ejecutables correspondientes.
Para lograr persistencia, un servicio de Windows llamado "msdtc" carga una DLL llamada "oci.dll". Tras la activación, esta DLL descarga una copia nueva de 'get.png' para instalar la última versión de GhostEngine en la máquina.
Dada la posibilidad de que a cada víctima se le asigne una billetera única, las ganancias financieras de los ataques de malware GhostEngine podrían ser sustanciales.
Medidas de seguridad recomendadas contra el malware GhostEngine Miner
Los investigadores recomiendan que los defensores permanezcan atentos a indicadores como ejecuciones sospechosas de PowerShell, actividades de procesos inusuales y tráfico de red dirigido a grupos de minería de criptomonedas. Además, la implementación de controladores vulnerables y la creación de servicios asociados en modo kernel deben considerarse señales de advertencia importantes en cualquier sistema. Como medida proactiva, bloquear la creación de archivos a partir de controladores vulnerables, como aswArPots.sys e IobitUnlockers.sys, puede ayudar a mitigar estas amenazas.
