AhnLab 安全情报中心 (ASEC) 最近证实了 XMRig 硬币矿工通过 GameHack 流通。 这个过程类似于过去引入的使用 webhard 平台分发 XMRig 币矿工的方法。
1. 扩散途径
Coinminer的分发路线被确定为分发著名游戏游戏黑客的网站,并伪装成许多著名游戏黑客的压缩文件被上传到该网站。此外,为了防止下载被浏览器和防病毒软件阻止,该网站通过在页面上指定如何阻止浏览器的下载并终止防病毒软件来诱导恶意软件的安装和执行。
图 1.Gamehack 分发页面主页
图2.Gamehack 发行版下载页面
事实上,如果您在游戏社区中查找该程序,就会发现许多用户已经认识到它包含恶意软件。
图3.游戏社区
2. 文件解析
上传的压缩文件包含安装Coinminer的下载器和恶意软件,目的是关闭杀毒软件,攻击者通过用户手册使用户难以直接终止杀毒软件,使得识别损坏更加困难。
图4.在上传的存档中
图5.说明书
使用的防病毒关闭程序是 dControl.exe,一个 Windows Defender 管理程序,它会导致 Windows Defender 被禁用。
图6.dControl.exe启动屏幕
3. 通过下载器安装的Coinminer
运行CoinMiner的准备过程完成后,通过loader.exe下载CoinMiner。初始下载器是由 autohotkey 创建的程序,它在“%temp%”文件夹的路径中安装并运行 coinminer。
图7.下载器脚本
执行后,CoinMiner 会阻止 Windows Defender 通过 PowerShell 扫描“ProgramData”路径中的 .exe 扩展名,并删除与 Windows 更新相关的服务,包括对 Windows 恶意软件删除工具 (MSRT) 的更新。它还会修改 hosts 文件以尝试绕过检测。
同时,它会自行复制路径 %ProgramData%\Google\Chrome 中的文件名 updater.exe,并将其注册为 GoogleUpdateFile 的服务名称以保持持久性。
Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramData) -ExclusionExtension ‘.exe’ -Force
cmd.exe /c wusa /uninstall /kb:890830 /quiet /norestart
sc.exe stop UsoSvc
sc.exe stop WaaSMedicSvc
sc.exe stop wuauserv
sc.exe stop bits
sc.exe stop dosvc
sc.exe create “GoogleUpdateFile” binpath=”C:\ProgramData\Google\Chrome\Updater.exe” start=”auto”图8.被篡改的主机文件
- 编号 : ZajPavgyGytczLBW
- 钱包 : 4824qBU4jPi1LKMjUrkC6qLyWJmnrFRqXU42yZ3tUT67iYgrFTsXbMmiupfC2EXTqDCjHrjtUR8oHVEsdSF2DErrCipV55Z
- 矿池 : xmr.2miners[.]com:12222
- cinit-stealth-targets:Taskmgr.exe,ProcessHacker.exe,perfmon.exe,procexp.exe,procexp64.exe
4. 结论
因此,恶意代码通过游戏或游戏黑客积极传播,因此用户需要小心。在游戏黑客的情况下,用户必须定期运行加载器等下载器.exe才能运行它,因此除了文章中介绍的硬币矿工之外,还可能发生由其他恶意软件造成的损害。从来源不明的数据共享站点下载的可执行文件应格外小心,实用程序和游戏等程序应从官方网站下载。AhnLab 正在按如下方式诊断此类恶意软件。
IOC
Domain
hxxps://cdn.discordapp[.]com/attachments/1195976176963948674/1195992986664829008/dupdate.exe?ex=65b60244&is=65a38d44&hm=66ae5a48329d7c237b8bd6d0506d4feb9c1e14281e918d8f2057bd0694a06ad2&MD5
7698fe6bd502a5824ca65b6b40cf6d65 (Loader.exe)
db98d8d6c08965e586103b307f4392fb (Update.exe)
58008524A6473BDF86C1040A9A9E39C3 (dControl.exe)参考链接:https://asec.ahnlab.com/ko/60542/
图片来源网络目标可联系删除
