0
Trend Micro säger Coinminer användning av fileless WMI-skript och EternalBlue gör sitt hot om att Windows-maskiner “oerhört smygande och persistent”.
Bild: Trend Micro
Brottslingar är infekterar Windows-maskiner med fileless skadlig kod som körs i minnet, och sätter den kapade Datorer för att arbeta på gruv-cryptocurrency.
Två funktioner i synnerhet att göra detta malware, känd som Coinminer, “oerhört smygande och persistent”, enligt malware forskare på Trend Micro.
För att infektera Windows-maskin, det är att använda den så kallade EternalBlue sårbarhet anställd av WannaCry och NotPetya som en mekanism för att sprida. Microsoft har släppt en korrigeringsfil för fel i Mars, men en skur av infektioner i Asien, främst i Japan, föreslår vissa system har inte uppdaterats.
På maskiner utsatta för detta fel, skadlig kod körs en bakdörr som installerar flera Windows Management Instrumentation (WMI) skript som körs i minnet, vilket gör dem svårare att upptäcka.
IT-administratörer kan använda WMI för att köra skript för att automatisera administrativa uppgifter på fjärrdatorer och skaffa hantering av data från dessa datorer och installerade Windows-program.
Dock, i detta fall cryptocurrency gruv-malware använder WMI för mer brottsliga ändamål, till exempel för att ansluta till angriparens kommando-och-kontroll domäner för att ladda ner gruv-program och skadlig kod.
WMI-malware är inte ny och användes i den ökända Stuxnet malware. FireEye har också hittat en avancerad hacker-gruppen APT29 med hjälp av WMI förmåga att skapa långlivade och smygande bakdörrar som automatiskt utlöser en bakdörr när ett system startas upp.
Malwarebytes identifierade WMI tekniker som används för att kapa Chrome och Firefox för att omdirigera användare till en attack webbplats.
Enligt Trend Micro, gruv-malware operation inkluderar en timer som automatiskt utlöser skadliga WMI-skript varje tre timmar.
Administratörer bör inaktivera SMBv1 protokoll för fildelning för att förhindra attacker med Eviga Blå, en exploit för SMBv1 tänkt att skapas genom att NSA och läckt ut i April i Skuggan Mäklare.
Redan innan läckaget av EternalBlue och WannaCry antagande av det, var Microsoft uppmanar kunder att sluta använda 30-år-gamla protokoll.
Trend Micro pekar också ut ett Microsoft-verktyg som kan spåra WMI aktivitet och rekommenderar att begränsa WMI på behov, liksom att inaktivera WMI på maskiner som inte behöver tillgång till det.
Relaterade täckning
Hackare gör sina malware mer kraftfulla genom att kopiera WannaCry och Petya ransomware tricks
Gruppen bakom Trickbot försöker ge sin Trojan malware själv-att sprida masken-liknande funktioner som har gjort senaste ransomware attacker go global.
Läckt NSA hacka utnyttja används i WannaCry ransomware är nu att driva Trojan malware
EternalBlue Windows säkerhetsbrist inte utnyttjas för att göra Nitol och Gh0st RÅTTA cyberespionage verktyg för en mer effektiv, varnar forskare.
0