0
Trend Micro zegt Coinminer het gebruik van fileless WMI-scripts en EternalBlue maakt de bedreiging voor Windows-machines “zeer goed en blijvend”.
Afbeelding: Trend Micro
Criminelen zijn infecteert Windows-computers met fileless malware die wordt uitgevoerd in het geheugen, en zet de gekaapte Pc ‘ s te werken op de mijnbouw cryptocurrency.
Twee functies in het bijzonder het maken van deze malware, bekend als Coinminer, “zeer kwaadaardige en aanhoudende”, aldus malware-onderzoekers van Trend Micro.
Te infecteren Windows machine, met behulp van de zogenaamde EternalBlue kwetsbaarheid in dienst van WannaCry en NotPetya als het verspreiden van een mechanisme. Microsoft heeft een patch voor het lek in Maart, maar een vloedgolf van infecties in Azië, vooral in Japan, suggereren sommige systemen zijn nog niet bijgewerkt.
Op machines kwetsbaar voor deze bug, de malware loopt een backdoor installeert diverse Windows Management Instrumentation (WMI) scripts die worden uitgevoerd in het geheugen, waardoor ze moeilijker op te sporen.
IT-beheerders kunnen het gebruik van WMI-scripts uitvoeren die het automatiseren van administratieve taken op externe computers en het verwerven van het beheer van gegevens uit deze computers geïnstalleerd en Windows-toepassingen.
Echter, in dit geval de cryptocurrency mijnbouw malware maakt gebruik van WMI voor meer snode doeleinden, met inbegrip van het aansluiten van de aanvaller command-and-control domeinen te downloaden van de mijnbouw software en malware.
WMI-malware is niet nieuw en werd ook gebruikt in de beruchte Stuxnet-malware. FireEye heeft een geavanceerde hacker groep APT29 met WMI mogelijkheden voor het creëren van aanhoudende en sluipende backdoors door het automatisch activeren van een backdoor-wanneer een systeem wordt gestart.
Malwarebytes geïdentificeerd WMI-technieken worden gebruikt voor het kapen van Chrome en Firefox gebruikers doorsturen naar een aanval site.
Volgens Trend Micro, de mijnbouw malware bediening is voorzien van een timer die automatisch activeert de kwaadaardige WMI-script om de drie uur.
Beheerders moeten het uitschakelen van de SMBv1 file-sharing protocol om aanvallen te voorkomen met behulp van de Eeuwige Blauw, een exploit voor SMBv1 gedacht te worden gemaakt door de NSA en de uitgelekte in April door de Schaduw Makelaars.
Nog voordat het lek van EternalBlue en WannaCry de vaststelling van het Microsoft dringt de klanten om te stoppen met de 30-jaar-oude protocol.
Trend Micro wijst ook op een Microsoft hulpprogramma dat kan traceren WMI-activiteit en adviseert het beperken van de WMI-behoeften basis, evenals het uitschakelen van WMI-op machines die geen toegang moeten hebben tot het.
Verwante dekking
Hackers maken hun malware krachtiger door het kopiëren van WannaCry en Petya ransomware trucs
De groep achter Trickbot is een poging om de Trojan malware de self-verspreiding van de worm-achtige mogelijkheden die gemaakt recente ransomware aanvallen global gaan.
Gelekt NSA hacken exploit gebruikt in WannaCry ransomware is nu het voeden van Trojan malware
EternalBlue Windows-lek wordt gebruikt voor het maken van Nitol en Gh0st RAT cyberespionage instrumenten effectiever, waarschuwen onderzoekers.
0