Uma nova campanha de mineração de criptomoedas chamada ‘REF4578’ foi descoberta utilizando um payload malicioso denominado GhostEngine, que usa drivers vulneráveis para desativar produtos de segurança e implantar um minerador XMRig. Os Pesquisadores destacaram a sofisticação desses ataques em relatórios separados e compartilharam regras de detecção para ajudar a identificar e interromper essas atividades maliciosas.

A campanha começa com a execução de um arquivo chamado ‘Tiworker.exe’, que se disfarça como um arquivo legítimo do Windows. Este executável é o payload inicial de staging para o GhostEngine, um script PowerShell que baixa vários módulos para executar diferentes comportamentos no dispositivo infectado.

Quando ‘Tiworker.exe’ é executado, ele baixa um script PowerShell chamado ‘get.png’ do servidor de comando e controle (C2) do atacante, que atua como o carregador principal do GhostEngine. O script PowerShell baixa módulos adicionais e suas configurações, desativa o Windows Defender, habilita serviços remotos e limpa diversos logs de eventos do Windows.

Os pesquisadores não atribuíram a atividade a atores de ameaça conhecidos nem compartilharam detalhes sobre os alvos ou vítimas, deixando a origem e o escopo da campanha desconhecidos. Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn() onde o keylogger é inserido.