Кибербезопасность снова под угрозой: на сцену выходит новый вредонос GhostEngine

Новый вирус GhostEngine использует уязвимые драйверы для майнинга криптовалют. Этот скрипт, часть кампании с кодовым названием REF4578, начинает свою работу с загрузки уязвимых драйверов ядра. Его цель — отключить системы EDR-защиты Windows и запустить криптомайнер XMRig.

Атака происходит через скрипт PowerShell, маскирующийся под установщик модулей Windows. Он скачивает вредоносный код с удалённого сервера, который затем деактивирует Microsoft Defender, открывает доступ к системе и удаляет следы своей деятельности в журналах Windows.

Один из способов обеспечения непрерывной работы вредоноса — создание запланированных заданий, которые регулярно обновляют его и поддерживают активность на заражённом устройстве. Основная нагрузка, smartsscreen.exe, использует драйверы, такие как aswArPot.sys и IObitUnlocker.sys, для отключения процессов EDR и удаления их файлов.

Эти действия позволяют злоумышленникам беспрепятственно устанавливать майнер криптовалюты, который использует ресурсы заражённого компьютера для добычи монеро. Связанный с REF4578 монеро-кошелёк за три месяца собрал уже более 60 тысяч долларов и остаётся активным.