- Регистрация
- 22 Фев 2019
- Сообщения
- 1,191
- Баллы
- 0
- Веб-сайт
- opencard.pw
- Общие продажи
- 0$
- Общие покупки
- 0$
Эксперты Trend Micro обнаружили криптоджекинговую кампанию, которая объединила в себе несколько вредоносных PowerShell-скриптов и эксплойт EternalBlue. Атаки злоумышленников направлены на пользователей в странах Азиатско-Тихоокеанского региона.
Для доставки майнера XMrig на компьютеры жертв организаторы кампании используют специфический загрузчик с целым набором вредоносных функций. Первым делом он отправляет организаторам кампании MAC-адрес зараженной машины и данные об установленном защитном ПО. Далее программа скачивает PowerShell-скрипт, который догружает дополнительные модули. Эксперты отмечают, что в основном это новые копии зловреда.
Загрузчик уточняет, какие компоненты отсутствуют на компьютере жертвы, и устанавливает их актуальные версии. После этого зловред отправляет операторам расширенные данные об устройстве, включая имя машины, версию ОС и информацию о видеопамяти.
«Хотя эти данные могут показаться не слишком ценными, они позволяют четко идентифицировать конкретный компьютер, — подчеркивают исследователи. — В дальнейшем с их помощью преступники смогут отслеживать активность пользователей».
Криптомайнер XMrig также разворачивается на компьютере с помощью PowerShell. Примечательно, что код на загрузку и запуск зловреда встроен внутрь opensource-скрипта — это позволило преступникам не использовать дополнительный файл. Эксперты также нашли в коде дроппера отсылку еще к одному исполняемому компоненту, но изучить его не удалось, поскольку на момент обнаружения соответствующий URL был неактивен.
Программа эффективно распространяется по корпоративной сети, пытаясь авторизоваться с помощью вшитых паролей. На пораженных компьютерах она меняет настройки брандмауэров таким образом, чтобы те сами скачивали и запускали дистрибутив зловреда. Отдельный блок паролей обеспечивает возможность взлома SQL-баз.
В дополнение к слабым учетным данным обнаруженный загрузчик применяет технику pass the hash, авторизуясь на удаленных серверах с помощью хешированных паролей, которые хранятся на зараженных компьютерах. За эту функцию отвечает бинарный Python-файл, который скачивает и запускает PowerShell-версию легитимной утилиты Mimikatz. В случае успеха этот компонент запускает передачу файлов через SMB-протокол, используя доступный в Сети скрипт Invoke-SMBClient.
Если же первые два способа не дают ожидаемый результат, программа выполняет эксплойт EternalBlue. Эта брешь SMB-протокола ранее спровоцировала эпидемии WannaCry и Petya, после чего ее взяли на вооружение операторы самых разных зловредов.
В настоящий момент нет данных о числе жертв обнаруженного зловреда. Известно, что его первые атаки были зафиксированы в Китае, после чего он отметился в Австралии, Вьетнаме, Гонконге, Индии и Японии.
Авторы исследования указали, что обнаруженный зловред представляет собой серьезную угрозу благодаря возможности быстро распространяться и долго оставаться незамеченным.
«Растущая популярность PowerShell вместе со все большим количеством opensource-скриптов позволяют предположить, что в ближайшем будущем мы увидим еще немало подобных программ», — заключают эксперты.
В январе специалисты обнаружили LNK-зловред, который использовал PowerShell-скрипт для показа нежелательной рекламы. Создатели вредоносного ПО распространяли его через торрент-трекеры под видом пиратской копии фильма «Девушка, которая застряла в паутине».
