Categories
科技報導

偽裝為WAV的惡意軟件在受害設備上挖礦 但其bug導致BSOD



Guardicore的安全研究人員揭示了一種複雜的惡意軟件攻擊,該攻擊成功地破壞了屬於醫療技術行業中型公司的800多種設備。惡意軟件偽裝成WAV文件,並包含一個Monero挖礦軟件,它利用臭名昭著的EternalBlue漏洞來危害網絡中的設備。

這款惡意軟件唯一的bug,是最終導致受感染的電腦藍屏死亡(BSOD),並且顯示相關錯誤代碼,最終引起受害者懷疑,並引發對事件的深入調查。

研究人員表示,BSOD於10月14日首次發現,當時發生致命崩潰的機器正在嘗試執行長命令行(實際上是基於base-64編碼的PowerShell腳本)。對腳本進行解碼後,研究人員獲得了可讀的Powershell腳本,該腳本用於部署惡意軟件。該腳本首先檢查系統架構(基於指針大小)。然後,它讀取存儲在上述註冊表子項中的值,並使用Windows API函數WriteProcessMemory將該值加載到內存中。研究人員指出,惡意軟件負載通過獲取和調用函數指針委託來執行。

該惡意軟件嘗試使用基於EternalBlue的漏洞傳播到網絡中的其他設備,該漏洞與WannaCry於2017年使用的漏洞相同,感染了全球數千台電腦。在對惡意軟件進行反向工程之後,研究人員發現該惡意軟件實際上隱藏了偽裝成WAV文件的Monero挖礦模塊,使用CryptonightR算法來挖掘Monero虛擬貨幣。此外,該惡意軟件利用隱寫術並將其惡意模塊隱藏在外觀清晰的WAV文件中。 ”

研究人員發現,完全刪除惡意軟件(包括終止惡意進程)阻止了在受害設備上發生BSOD。

windows-malware-disguised-as-wav-hides-cryptominer-accidentally-causes-bsod-528880-2.jpg