Pesquisadores de segurança cibernética descobriram uma nova campanha de cripto-jacking que utiliza drivers vulneráveis para desativar soluções de segurança conhecidas (EDRs) e evitar detecção em um ataque chamado Bring Your Own Vulnerable Driver (BYOVD).
Os Laboratórios de Segurança Elástica estão rastreando a campanha sob o nome REF4578 e o payload principal como GHOSTENGINE. Pesquisas anteriores da empresa chinesa de cibersegurança Antiy Labs nomearam a atividade como HIDDEN SHOVEL.
“A GHOSTENGINE explora drivers vulneráveis para encerrar e excluir agentes EDR conhecidos que provavelmente interfeririam com o minerador de moedas implantado e bem conhecido”, disseram os pesquisadores da Elastic Salim Bitam, Samir Bousseaden, Terrance DeJesus e Andrew Pease.
“Essa campanha envolveu uma quantidade incomum de complexidade para garantir tanto a instalação quanto a persistência do minerador XMRig.”
Tudo começa com um arquivo executável (“Tiworker.exe”), que é usado para executar um script PowerShell que recupera um script PowerShell obfuscado que se disfarça como uma imagem PNG (“get.png”) para buscar payloads adicionais de um servidor de comando e controle (C2).
Esses módulos – aswArPot.sys, IObitUnlockers.sys, curl.exe, smartsscreen.exe, oci.dll, backup.png e kill.png – são lançados no host infectado após serem baixados via HTTP do servidor C2 configurado ou de um servidor de backup caso os domínios estejam indisponíveis. Ele também incorpora um mecanismo de fallback baseado em FTP.
Além disso, o malware tenta desativar o Antivírus Microsoft Defender, limpar vários canais de log de eventos do Windows e garantir que o volume C: tenha pelo menos 10 MB de espaço livre para baixar arquivos, que são então armazenados na pasta C:WindowsFonts.
“Se não houver espaço suficiente, ele tentará excluir arquivos grandes do sistema antes de procurar outro volume adequado com espaço suficiente e criar uma pasta em $RECYCLE.BINFonts,” disseram os pesquisadores.
O script PowerShell também é projetado para criar três tarefas agendadas no sistema para executar uma DLL maliciosa a cada 20 minutos, iniciar-se por meio de um script em lote a cada hora e executar smartsscreen.exe a cada 40 minutos.
O payload principal da cadeia de ataque é smartsscreen.exe (também conhecido como GHOSTENGINE), cujo objetivo principal é desativar processos de segurança usando o driver vulnerável do Avast (aswArPot.sys), completar a infecção inicial e executar o minerador.
O binário do agente de segurança é então excluído por meio de outro driver vulnerável da IObit (iobitunlockers.sys), após o qual o programa de mineração do cliente XMRig é baixado do servidor C2 e executado.
O arquivo DLL é usado para garantir a persistência do malware e baixar atualizações dos servidores C2, buscando o script get.png e executando-o, enquanto o script PowerShell backup.png funciona como uma porta dos fundos para permitir a execução remota de comandos no sistema.
Como medida de redundância, o script PowerShell kill.png possui capacidades semelhantes ao smartsscreen.exe para excluir binários de agentes de segurança injetando e carregando um arquivo executável na memória.
O desenvolvimento vem quando a Equipe de Pesquisa de Ameaças da Uptycs descobriu uma operação em larga escala e contínua desde janeiro que explora falhas conhecidas no utilitário de registro Log4j para implantar um minerador XMRig em hosts específicos.
Subsequente à comprometimento de uma máquina vítima, ela iniciou o contato com uma URL para buscar um script de shell para o deploy do minerador XMRig, ou alternativamente, em instâncias selecionadas, ele dissemina malware Mirai ou Gafgyt, disse o pesquisador de segurança Shilpesh Trivedi.
A maioria dos servidores afetados está localizada na China, seguida por Hong Kong, Holanda, Japão, EUA, Alemanha, África do Sul e Suécia.
BYOVD e Outros Métodos para Minar Mecanismos de Segurança
O BYOVD é uma técnica cada vez mais popular na qual um ator ameaça traz um driver assinado conhecido por vulnerabilidades, carrega-o no kernel e o explora para realizar ações privilegiadas, muitas vezes com o objetivo de desarmar processos de segurança e permitir que operem furtivamente.
“Drivers rodam no ring 0, o nível mais privilegiado do sistema operacional”, observa a empresa de cibersegurança israelense Cymulate. “Isso concede a eles acesso direto à memória crítica, CPU, operações de E/S e outros recursos fundamentais. No caso do BYOVD, o ataque é projetado para carregar um driver vulnerável para aprofundar o ataque.”
Embora a Microsoft tenha implementado a Vulnerable Driver Blocklist por padrão a partir do Windows 11 22H2, a lista é atualizada apenas uma ou duas vezes ao ano, exigindo que os usuários a atualizem manualmente periodicamente para uma proteção ideal.
O escopo exato da campanha permanece desconhecido e atualmente não está claro quem está por trás dela. No entanto, a sofisticação incomum por trás do que parece ser um ataque simples de mineração de criptomoeda ilegal merece atenção.