Обнаружен работающий в памяти "Крипточервь"
Итальянский исследователь Марко Рамилли (Marco Ramilli) опубликовалрезультаты анализа необычного сетевого червя, ворующего пароли и устанавливающего майнер криптовалюты Monero. Характерными особенностями нового Windows-зловреда также являются сложный процесс заражения, использование эксплойтов и работа без записи файлов на диск.
Протестированный образец, со слов Рамилли, был доставлен на компьютер его коллеги по электронной почте. Как показало тестирование, при запуске вредоносный файл y1.bat загружает с китайского сервера и запускает дроппер info6.ps1 — сильно обфусцированный скрипт PowerShell, состоящий из трех модулей:
- Mimikatz.dll;
- набор утилит для деобфускации, сканирования локальных сетей, активации эксплойтов и т.п., а также для загрузки и запуска майнера;
- набор эксплойтов EternalBlue.
Использование Mimikatz позволяет «крипточервю» (all in memory CryptoWorm), как его называет Рамилли, украсть пароли пользователей Windows. После этого он ищет в той же сети устройства, уязвимые к атакам на SMB (патчи MS17-010 были выпущены еще в марте), и, найдя таковые, применяет эксплойты для дальнейшего распространения инфекции.
На последнем этапе атаки новоявленный червь загружает и запускает на исполнение файл info.vbs, опознанный как дроппер XMRig — доступной на Github программы с открытым исходным кодом для майнинга Монеро. Примечательно, что XMRig помещается непосредственно в память зараженной системы.
Схема атаки бестелесного «крипточервя» (источник: блог Марко Рамилли)
В своей блог-записи исследователь привел следующие индикаторы компрометации:
- IP-адрес C&C-сервера 118[.]184[.]48[.]95
- прописанный в коде Monero-кошелек 46CJt5F7qiJiNhAFnSPN1G7BMTftxtpikUjt8QXRFwFH2c3e1h6QdJA5dFYpTXK27dEL9RN3H2vLc6eG2wGahxpBK5zmCuE
- Sha256: 19e15a4288e109405f0181d921d3645e4622c87c4050004357355b7a9bf862cc
- Sha256: 038d4ef30a0bfebe3bfd48a5b6fed1b47d1e9b2ed737e8ca0447d6b1848ce309