Hackers hebben een manier gevonden om cryptocurrency-miningsoftware op uw apparaten te installeren, zelfs als u antivirussoftware hebt geïnstalleerd.
De campagne werd onlangs ontdekt door cybersecurity-onderzoekers van Elastic Security Labs en Antey, die de campagne REF4578 noemden, maar deze niet konden toeschrijven aan een specifieke of bekende bedreigingsacteur.
De campagne wordt uitgevoerd door een kwetsbaar stuurprogramma op het eindpunt te plaatsen, waarmee ze eventuele antivirussoftware die u op uw apparaat hebt geïnstalleerd, kunnen uitschakelen en uiteindelijk verwijderen. Zodra dit is gebeurd, verwijdert de malware XMRig, een van de populairste cryptocurrency-mijnwerkers. Bovendien lijken de slachtoffers niet specifiek het doelwit te zijn en is het moeilijk om precies te bepalen hoeveel computers zijn geïnfecteerd.
Mijnbouw van cryptovaluta
Onderzoekers weten niet helemaal zeker hoe aanvallers de malware hebben verspreid, maar een goede inschatting zou zijn via phishing, sociale media en instant messaging, of via advertentievergiftiging en nabootsing van identiteit.
Wat de methode ook is, een exe-bestand met de naam Tiworker, dat zich voordoet als een legitiem Windows-bestand, zal eerst op de slachtoffers worden geplaatst. Dit bestand plaatst een PowerShell-script met de naam GhostEngine dat op zijn beurt een aantal verschillende activiteiten uitvoert.
Daaronder bevinden zich het laden van twee kwetsbare kernelstuurprogramma's: aswArPots.sys (Avast-stuurprogramma), gebruikt om Endpoint Detection and Response (EDR)-processen te beëindigen, en IObitUnlockers.sys (Iobit-stuurprogramma) dat het bijbehorende uitvoerbare bestand verwijdert.
GhostEngine kan ook Windows Defender uitschakelen, externe services inschakelen en verschillende Windows-gebeurtenislogboeken wissen.
Wanneer het proces voorbij is en de kust veilig is, zal GhostEngine uiteindelijk XMRig inzetten, een populaire cryptocurrency-mijnwerker. Deze tool, die erg populair is onder cybercriminelen, mineert in het geheim de cryptocurrency Monero (XMR), die bekend staat om zijn privacy en pseudonimiteit.
Om eindpunten te beschermen suggereren de onderzoekers dat IT-teams op zoek gaan naar verdachte PowerShell-uitvoeringen, ongebruikelijke procesactiviteiten en netwerkverkeer dat wijst op cryptocurrency-miningpools.
via BleepingComputer
Meer van TechRadar Pro
“Bekroonde schrijver. Social media-specialist. Introvert. Ongeneeslijke twitterfan. Organisator. Fervent popcultuurliefhebber.”