Исследователи «Лаборатории Касперского» обнаружили нового вирусную программу — криптомайнер PowerGhost.
Он распространялся в корпоративных сетях по всему миру, заражая рабочие станции и серверы, сообщает «Лаборатория Касперского».
PowerGhost — это безфайловый зловред.
Он существует в оперативной памяти устройства и не нуждается в исполняемых файлах для запуска.
Это значительно осложняет его обнаружение.
С технической точки зрения PowerGhost представляет собой обфусцированный powershell-скрипт, содержащий основной код и дополнительные модули: непосредственно майнер, mimikatz, библиотеки msvcp120.dll и msvcr120.dll, необходимые для работы майнера, модуль для reflective PE injection и shellcode для эксплойта EternalBlue.
Зловред использует множество бесфайловых техник, чтобы оставаться незаметным для пользователя и избегать обнаружения антивирусными технологиями.
Заражение машины происходит удаленно с использованием эксплойтов или инструментов удаленного администрирования (Windows Management Instrumentation).
При заражении запускается однострочный powershell-скрипт, который выкачивает основное тело зловреда и сразу запускает его, не записывая на жесткий диск.
После этого киберпреступники могут сразу предоставить PowerGhost возможности для автоматического обновления, распространения в сети и начала криптомайнинга.
В одной из версий PowerGhost был также обнаружен инструмент для проведения DDoS-атак.
Вероятно, злоумышленники планировали получать дополнительный заработок со своего майнинг-ботнета, предоставляя услугу DDoS.
PowerGhost сохраняет все модули как свойства WMI-класса.
Тело зловреда сохраняется в виде однострочного powershell-скрипта в WMI-подписку, которая срабатывает каждые 1,5 часа.
От атак PowerGhost в наибольшей степени уже пострадали такие страны, как Бразилия, Колумбия, Индия и Турция.
В России были зафиксированы атаки на десятки пользователей.
География распространения майнера.