Reading Time: 2 minutes

Investigadores da Kaspersky Lab descobriram que o minerador de criptomoedas chamado PowerGhost que pode disseminar-se pela rede usando uma técnica de infeção chamado de fileless (sem ficheiro).

O minerador PowerGhost tem como alvo grandes redes corporativas, e esta atualmente a infetar estações de trabalho e servidores, empregando várias técnicas sem ficheiro (fileless) para evitar a sua detecção.

“The malware, which we dubbed PowerGhost, is capable of stealthily establishing itself in a system and spreading across large corporate networks infecting both workstations and servers.” reads the analysis published by Kaspersky.

“This type of hidden consolidation is typical of miners: the more machines that get infected and the longer they remain that way, the greater the attacker’s profits. Therefore, it’s not uncommon to see clean software being infected with a miner; the popularity of the legitimate software serves to promote the malware’s proliferation.”

O PowerGhost aproveita o exploit EternalBlue vazado da NSA para se disseminar,  e é ofuscado pelo script PowerShell contendo o código principal do malware, juntamente com muitos outros módulos complementares, como o miner, bibliotecas de mineração, o pós-exploração Mimikatz e um shellcode para o EternalBlue.

O sistema da vitima é infectado remotamente usando exploits ou ferramentas de administração remota (Windows Management Instrumentation). Durante a fase de infeção, os  especialistas descobriram que um script PowerShell é executado para descarregar o miner e executá-lo — todo o processo executado na memória do sistema e sem acesso a qualquer ficheiro físico.

A primeira coisa que o malware faz é verificar o servidor de comando e controle (C & C) e, se uma nova versão estiver disponível, ele faz o download e executa-a.

Em seguida, o malware usa a ferramenta Mimikatz para obter as credenciais da conta de utilizador da máquina e usá-a para tentar movimentos laterais dentro da rede de destino.

Propagation.With the help of mimikatz, the miner obtains the user account credentials from the current machine, uses them to log on and attempts to propagate across the local network by launching a copy of itself via WMI. By “a copy of itself” here and below we mean the one-line script that downloads the miner’s body from the C&C.” continues the analysis. 

PowerGhost also tries to spread across the local network using the now-notorious EternalBlue exploit (CVE-2017-0144).”

Depois de infectar uma máquina, o PowerGhost tenta escalar privilégios utilizando vários exploits, como o CVE-2018-8120.

Para estabelecer uma posição segura no sistema infectado, o PowerGhost guarda todos os módulos como propriedades de uma classe WMI, enquanto o corpo principal do miner é guardado como um script PowerShell contendo uma assinatura WMI, e que é ativada a cada 90 minutos.

O script executa o miner através da execução de um ficheiro PE via injeção reflexiva de PE.

A maioria das infecções do PowerGhost foi observada na Índia, no Brasil, na Colômbia e na Turquia.

PowerGhost

Os investigadores descobriram também uma versão do PowerGhost que implementa o recurso DDoS, uma circunstância que leva a Kaspersky a acreditar que os autores tentaram criar um serviço de DDoS-for-hire.

Detalhes adicionais, incluindo Indicadores de Compromisso (IoCs), estão descritos na análise publicada pela Kaspersky.