Експерти Bitdefender попереджають про кампанію криптозлому через уразливість бокового завантаження DLL у Microsoft OneDrive. Bitdefender уже виявив 700 атакованих екземплярів Microsoft OneDrive у травні та червні 2022 року. Німеччина одна з найбільш постраждалих.
Криптозловмисники становлять небезпеку, яка зростає: хакери використовують ресурси заражених комп’ютерів або мобільних пристроїв, щоб використовувати їхні ресурси для власного криптомайнінгу. У травні та червні 2022 року Bitdefender виявив глобальну кампанію атак, під час якої кіберзлочинці використовують відомі вразливості стороннього завантаження DLL у Microsoft OneDrive, щоб інсталювати шкідливе програмне забезпечення для криптомайнінгу в системах жертв. В принципі, вони можуть завантажувати будь-яке зловмисне програмне забезпечення через уразливість, включаючи зловмисне програмне забезпечення.
Зловмисне програмне забезпечення для криптомайнінгу через уразливість
Операційна система Windows та інші програми побудовані на DLL-файлах, які надають або розширюють функціональні можливості. Як тільки програмі потрібна функціональність у певній DLL, вона шукає її у попередньо визначеному порядку, спочатку в каталозі, з якого було завантажено програму, потім у системному каталозі, у 16-розрядному системному каталозі, у Windows Каталог, у поточному каталозі, що використовується, і останнім часом у каталогах, указаних у змінній середовища Path. Якщо повний шлях до необхідних файлів DLL не вказано, програма намагається знайти файл за описаними шляхами. Якщо хакери розмістили шкідливу DLL на шляху пошуку, вона мовчки завантажиться та запуститься замість потрібної їй програми.
Завантажте шкідливі DLL через OneDrive.exe
Під час атаки, проаналізованої Bitdefender, зловмисники записують підроблений secure32.dll у шлях %appdata%\Local\Microsoft\OneDrive\ без спеціальних привілеїв. OneDrive обробляє OneDrive.exe або OneDriveStandaloneUpdater.exe, а потім завантажує їх. Оскільки %appdata%\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe заплановано запускати щодня, підроблені файли DLL тепер постійно зберігаються в системі жертви.
Крім того, зловмисники закріплюють фальшиву DLL у системі через %appdata%\Local\Microsoft\OneDrive\OneDrive.exe. Ви налаштовуєте, щоб OneDrive.exe запускався під час кожного перезавантаження за допомогою реєстру Windows. Після завантаження підробленого secure32.dll через ці процеси OneDrive, він перезавантажує програмне забезпечення для криптомайнінгу та заражає його в законні процеси Windows. Таким же чином зловмисники можуть також встановити програми-вимагачі або шпигунські програми в системах.
У рамках криптомайнінгової кампанії хакери поширили алгоритми майнінгу чотирьох криптовалют: зокрема Etchasch, а також ethash, ton і xmr. В середньому кіберзлочинці отримують прибуток у розмірі 13 доларів США з кожного зараженого комп’ютера. Жертви помічають втрати в роботі систем.
Microsoft: інсталюйте OneDrive "на машину".
Користувачі можуть інсталювати Microsoft OneDrive «на користувача» або «на машину». За замовчуванням встановлено «для кожного користувача». У цій конфігурації користувачі без спеціальних привілеїв можуть писати в папку, у якій знаходиться OneDrive. Хакери можуть скинути сюди зловмисне програмне забезпечення, змінити виконувані файли або повністю перезаписати їх. Тому Microsoft рекомендує використовувати OneDrive «на машину» для встановлення та надає інструкції.
Необхідні подальші запобіжні заходи
Однак інсталяція «на машину» не підходить для кожного середовища або для кожного рівня привілеїв. Тому Bitdefender застерігає користувачів OneDrive бути дуже обережними. Як захист від вірусів, так і використовувана операційна система повинні завжди оновлюватися.
Більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de