Новости Кибербезопасность снова под угрозой: выходит новый вредонос GhostEngine

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.877
Репутация
11.595
Реакции
61.773
RUB
50
Новый вирус GhostEngine использует уязвимые драйверы для майнинга криптовалют.


Этот скрипт, часть кампании с кодовым названием REF4578, начинает свою работу с загрузки уязвимых драйверов ядра. Его цель — отключить системы EDR-защиты Windows и запустить криптомайнер XMRig.

Кибербезопасность снова под угрозой: на сцену выходит новый вредонос GhostEngine


Атака происходит через скрипт PowerShell, маскирующийся под установщик модулей Windows. Он скачивает вредоносный код с удалённого сервера, который затем деактивирует Microsoft Defender, открывает доступ к системе и удаляет следы своей деятельности в журналах Windows.

Один из способов обеспечения непрерывной работы вредоноса — создание запланированных заданий, которые регулярно обновляют его и поддерживают активность на заражённом устройстве. Основная нагрузка, smartsscreen.exe, использует драйверы, такие как aswArPot.sys и IObitUnlocker.sys, для отключения процессов EDR и удаления их файлов.

Эти действия позволяют злоумышленникам беспрепятственно устанавливать майнер криптовалюты, который использует ресурсы заражённого компьютера для добычи монеро. Связанный с REF4578 монеро-кошелёк за три месяца собрал уже более 60 тысяч долларов и остаётся активным.


 
Сверху Снизу