MSI Afterburnerista liikkeellä haittaohjelmilla kyllästetty versio

Kaotik

Banhammer
Ylläpidon jäsen
Liittynyt
14.10.2016
Viestejä
19 322
Suositusta ylikellotussovelluksesta jaetaan väärennettyä versiota, joka asentaa koneelle XMR-kryptolouhimen ja varastaa käyttäjän tietoja.
Väärennettyä versiota on jaettu ainakin 50 eri sivustolla, jotka näyttävät osoitettaan lukuunottamatta aidolta MSI Afterburnerin lataussivulta.
Myös verkkosivujen osoitteet on luotu johtamaan harhaan samankaltaisuudellaan. Esimerkkiosoitteita on Tom's Hardwarella listattuna msi-afterburner-download.site, msi-afterburner.download ja mslafterburners.com
Huijaussivut ovat ilmeisesti onnistuneet myös soluttautumaan Googlen hakutuloksiin.

 
Liittynyt
17.10.2016
Viestejä
863
"When the fake MSI Afterburner setup file (MSIAfterburnerSetup.msi) is executed, the legitimate Afterburner program will be installed. However, the installer will also quietly drop and run the RedLine information-stealing malware and an XMR miner in the compromised device.

The miner is installed through a 64-bit Python executable named 'browser_assistant.exe' in the local Program Files directory, which injects a shell into the process created by the installer.

This shellcode retrieves the XMR miner from a GitHub repository and injects it directly into memory in the explorer.exe process. Since the miner never touches the disk, the chances of being detected by security products are minimized.
The miner connects to its mining pool using a hardcoded username and password and then collects and exfiltrates basic system data to the threat actors.

One of the arguments the XMR miner uses is 'CPU max threads' set to 20, topping most modern CPU thread count, so it's set to capture all available power.
XMRminer argument details
XMRminer argument details (Cyble)

The miner is set to mine only after 60 minutes since the CPU has entered idling, meaning that the infected computer is not running any resource-intensive tasks and is most likely left unattended.
Also, it uses the "-cinit-stealth-targets" argument, which is an option to pause mining activity and clear GPU memory when specific programs listed under "stealth targets" are launched.
These could be process monitors, antivirus tools, hardware resource viewers, and other tools that help the victim spot the malicious process.

In this case, the Windows applications from which the miner attempts to hide are Taskmgr.exe, ProcessHacker.exe, perfmon.exe, procexp.exe, and procexp64.exe.
While the miner is quietly hijacking your computer's resources to mine Monero, RedLine has already run in the background stealing your passwords, cookies, browser information, and, potentially, any cryptocurrency wallets.

Unfortunately, almost all of this fake MSI Afterburner campaign's components have poor antivirus software detection.
VirusTotal reports that the malicious 'MSIAfterburnerSetup.msi' setup file is only detected by three security products out of 56, while the 'browser_assistant.exe' is only detected by 2 out of 67 products"


ikävä kaveri havaita koska piiloutuu, eikä aloita mainausta ennenkuin 60min idleä takana :)

valitettavasti en löytänyt googlamani tietoa, eli millä softalla eroon(mikäli tälläinen olisi koneellani)
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
8 020
Tein yhteisölle palveluksen ja lähetin samplen Microsoftille analysoitavaksi. Lähituntien aikana Windows Defender tulee reagoimaan tähän, vaikka SmartScreen jo reagoi tiedoston luotettavuuteen.
 
Toggle Sidebar

Statistiikka

Viestiketjut
185 493
Viestejä
3 376 863
Jäsenet
60 585
Uusin jäsen
l33tHakman

Hinta.fi

Ylös Bottom