sha1:
- 6d8716cddc3ca6c8558eb4f842d81638f00f01f8
Описание
Вредоносный PowerShell-скрипт, выполняющий установку ПО для скрытой добычи криптовалюты. Изначально является обфусцированным. Доставляется в скомпрометированную систему скомпилированным Visual Basic приложением, маскирующимся под ПО для видеосвязи.
Принцип действия
Скрипт скачивает с сайта hxxps://asobimo[.]link один из 5 наборов вредоносных файлов:
ZX-uninstaller2.rdp ZX-uninstaller.rdp ZE-uninstaller.rdp ZX.rdp ZE.rdp | S32-uninstaller.rdp S64-uninstaller.rdp S32.rdp S64.rdp | mc-uninstaller.rdp ec-uninstaller.rdp mc.rdp ec.rdp | updater-uninstaller.rdp updatere-uninstaller.rdp updaterx-uninstaller.rdp updaterx-uninstaller2.rdp updater.rdp updaterx.rdp | updater.rdp updaterx.rdp |
Любой из наборов модулей выполняет следующие действия:
- удаляет старые задачи майнера,
- устанавливает исполняемый файл %APPDATA%\usernetwork\ipv4\updater.exe и добавляет задачу на его запуск,
- устанавливает исполняемый файл %APPDATA%\usernetwork\ipv4\updaterx.exe, который является Trojan.BtcMine.2742 и добавляет новые задачи. Настройки майнера расположены по следующим адресам: hxxp://myownservice.duckdns[.]org:8000/mclient[.]txt, hxxps://asobimo[.]link/marosa[.]txt, hxxps://pastebin[.]com/raw/9UHQkGec.
После скачивания и выполнения всех модулей загружается PowerShell-скрипт hxxps://asobimo[.]link/checkubr[.]txt, который сохраняет и запускает следующие файлы:
- $env:PUBLIC\Pictures\un.exe, расположенный по адресу hxxps://asobimo[.]link/asom-uninstaller.rdp. Файл представляет собой Trojan.Hosts.51840, sha1:99111907b50911f9b2853cd73b373d231ab92f79, задачей которого является удаление задания майнера с распространенным названием GoogleUpdateTaskMachineQC,
- $env:PUBLIC\Pictures\u.exe, расположенный по адресу hxxps://asobimo[.]link/xz-uninstaller.rdp. Файл представляет собой Trojan.Hosts.51839, sha1:385a72bede84c9c44b84b2f044ca77e440be0802, задачей которого является изменение записей реестра, отвечающих за автоматические обновления Windows,
-
$env:PUBLIC\Pictures\m.exe, расположенный по адресу hxxps://asobimo[.]link/xz.rdp. Файл представляет собой Trojan.Siggen23.24088, sha1:0f05fbb257fc71ba649175b92fcd963ff23a2540, задачей которого является установка майнера, который обращается за следующими настройками к getcert[.]net/m.txt:
--algo=rx/0 --url=xmr-asia1.nanopool.org:10343 --user="44SC1Wk3tmZeVr6LvcaVcsZbnYCT5hUVWe4ptAPE445NWhcYUvkShPuJiYkxi5yofgdTWqPUCCNdcBar18Kecbgs15gRzhk" --pass="" --cpu-max-threads-hint=50 --cinit-winring="terzfardvkrs.sys" --cinit-remote-config="https://getcert.net/m.txt" --cinit-stealth-targets="Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe" --cinit-version="3.4.0" --tls --cinit-idle-wait=5 --cinit-idle-cpu=80 --cinit-id="smyzfwfwcmmyixji"
Матрица Mitre
Этап |
Тактика |
---|---|
Выполнение |
Интерпретаторы командной строки и сценариев (T1059) PowerShell (T1059.001) Нативный API (T1106) Общие модули (T1129) |
Повышение привилегий |
Внедрение кода в процессы (T1055) Загрузка сторонних библиотек (T1574.002) |
Предотвращение обнаружения |
Обфусцированные файлы или данные (T1027) Маскировка (T1036) Внедрение кода в процессы (T1055) Изменение реестра (T1112) Ослабление защиты (T1562) Отключение или ослабление средств защиты (T1562.001) Сокрытие артефактов (T1564) Скрытые файлы и каталоги (T1564.001) Скрытое окно (T1564.003)
|
Обнаружение |
Изучение открытых приложений (T1010) Изучение удаленных систем (T1018) Изучение процессов (T1057) Изучение системы (T1082) Изучение файлов и каталогов (T1083) Изучение установленного ПО (T1518)
|
Организация управления |
Протокол прикладного уровня (T1071) Прочие протоколы (T1095) Зашифрованный канал (T1573) |