Обнаружен работающий в памяти «крипточервь» - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Обнаружен работающий в памяти «крипточервь»

Итальянский исследователь Марко Рамилли (Marco Ramilli) опубликовалрезультаты анализа необычного сетевого червя, ворующего пароли и устанавливающего майнер криптовалюты Monero.

Характерными особенностями нового Windows-зловреда также являются сложный процесс заражения, использование эксплойтов и работа без записи файлов на диск.

Протестированный образец, со слов Рамилли, попал на компьютер его коллеги по электронной почте. Как показало тестирование, при запуске вредоносный файл y1.bat загружает с китайского сервера и запускает дроппер info6.ps1 — сильно обфусцированный скрипт PowerShell, состоящий из трех модулей:

  • Mimikatz.dll;
  • набор утилит для деобфускации, сканирования локальных сетей, активации эксплойтов и т.п., а также для загрузки и запуска майнера;
  • набор эксплойтов EternalBlue.

Использование Mimikatz позволяет «крипточервю» (all in memory CryptoWorm), как его называет Рамилли, украсть пароли пользователей Windows. После этого он ищет в той же сети устройства, уязвимые к атакам на SMB (патчи MS17-010 были выпущены еще в марте), и, найдя таковые, применяет эксплойты для дальнейшего распространения инфекции.

На последнем этапе атаки новоявленный червь загружает и запускает на исполнение файл info.vbs, опознанный как дроппер XMRig — доступной на Github программы с открытым исходным кодом для майнинга Монеро. Примечательно, что XMRig помещается непосредственно в память зараженной системы.

 

Схема атаки бестелесного «крипточервя» (источник: блог Марко Рамилли)

В своей блог-записи исследователь привел следующие индикаторы компрометации:

  • IP-адрес C&C-сервера 118[.]184[.]48[.]95
  • прописанный в коде Monero-кошелек 46CJt5F7qiJiNhAFnSPN1G7BMTftxtpikUjt8QXRFwFH2c3e1h6QdJA5dFYpTXK27dEL9RN3H2vLc6eG2wGahxpBK5zmCuE
  • Sha256: 19e15a4288e109405f0181d921d3645e4622c87c4050004357355b7a9bf862cc
  • Sha256: 038d4ef30a0bfebe3bfd48a5b6fed1b47d1e9b2ed737e8ca0447d6b1848ce309
Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus