Майнер Monero распространяется через установку пакетов AdShield/Netshield, OpenDNS

safety

Активность майнера наблюдалась на форумах (Kasperskyclub.ru, Virusinfo.info, Cyberforum.ru) в период с февраля 2021, отзывы о проблеме, судя по поискам в сети, пошли ранее (ноябрь-декабрь 2020г)
По отчету Лаборатории Касперского на securelist.ru, активное детектирование началось с февраля 2021 года.

1.

Зловред распространяется под именем adshield[.]pro и выдает себя за Windows-версию мобильного блокировщика рекламы AdShield. После того как пользователь запускает программу, она меняет настройки DNS на устройстве так, что все домены начинают разрешаться через серверы злоумышленников, которые, в свою очередь, не дают пользователям получить доступ к сайтам некоторых антивирусов, например к Malwarebytes.com.

185.201.47.42,142.4.214.15\DNS Server list

2.

После подмены DNS-серверов зловред начинает обновляться и запускает updater.exe с аргументом self-upgrade («C:\Program Files (x86)\AdShield\updater.exe» -self-upgrade). Updater.exe обращается к командному центру и отправляет сведения о зараженной машине и информацию о начале установки.

C:\PROGRAM FILES (X86)\ADSHIELD\UPDATER.EXE
HEUR:Trojan.Win32.DNSChanger.gen
C:\WINDOWS\SYSTEM32\TASKS\ADSHIELD SCHEDULED AUTOUPDATE
"C:\Program Files (x86)\AdShield\updater.exe" -self-upgrade

3.

Updater.exe скачивает с сайта transmissionbt[.]org и запускает модифицированный торрент-клиент Transmission (оригинальный дистрибутив находится по адресу transmissionbt.com). Модифицированная программа отсылает на командный сервер информацию об установке вместе с идентификатором зараженной машины и загружает с него модуль для майнинга.

Модули для майнинга состоят из легитимных вспомогательных библиотек, зашифрованного файла с майнером data.pak, исполняемого файла flock.exe\slack.exe\discord.exe и файла «лицензии» lic.data.

....
\Flock\config.json
\Flock\data.pak
\Flock\Flock.exe
\Flock\lic.data
\Flock\Qt5Core.dll
\Flock\WinRing0x64.sys
...

4. flock.exe запускается с помощью клиента transmission (запускаемый как служба)
C:\PROGRAM FILES (X86)\TRANSMISSION\TRANSMISSION-DAEMON.EXE
Действительна, подписано SignPath Foundation
"C:\Program Files (x86)\Transmission\transmission-daemon.exe" -run-instance

5. после запуска Flock.exe расшифровывает данные из файла data.pak, содержащие файл майнера.
далее, в копию системного файла find.exe внедряется расшифрованное тело майнера.

(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\FIND.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3648], tid=3940

Полное имя C:\WINDOWS\SYSTEM32\FIND.EXE


pid = 3076 ***\***
CmdLine "C:\ProgramData\Flock\find.exe"
Процесс создан 00:39:49 [2021.02.18]
С момента создания 00:05:25
CPU 49,85%
CPU (1 core) 797,57%
parentid = 13628
ESTABLISHED 192.168.0.98:55478 <-> 54.93.84.207:443
Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=14380
SHA1 1E44EE63BDB2CF3A6E48B521844204218A001344
MD5 AE3F3DC3ED900F2A582BAD86A764508C

Загруженные DLL НЕИЗВЕСТНЫЕ
BXSDK64.DLL C:\USERS\SHUM\APPDATA\LOCAL\TEMP

Загруженные DLL ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ
ADVAPI32.DLL C:\WINDOWS\SYSTEM32

далее, разработчиком uVS предложена новая функция (реализована в 4.1.15 и расширена в 4.1.16), которая позволила отследить, каким образом запускается Flock.exe\Slack.exe\Discord.exe
+
спасибо, Sandor-у за оперативно добавленный диалог:
+
Vvvyg - за скрипт экспорта журналов для анализа
+
Virus Monitoring Service Doctor Web Ltd. за поиск тела майнера в папке модулей flock

благодаря предложенной функции стало возможным отследить цепочку запуска вредоносных программ.

EV_RenderedValue_0,00
Elvi51
ELVI51
277248
7264
C:\Windows\System32\find.exe
%%1937
16620
"C:\WINDOWS\system32\find.exe"
EV_RenderedValue_9,00
-
-
0
C:\ProgramData\Discord\Discord.exe
EV_RenderedValue_14,00

К событию были добавлены следующие сведения:

EV_RenderedValue_0,00
ELVI51$
WORKGROUP
999
16620
C:\ProgramData\Discord\Discord.exe
%%1937
1400
C:\ProgramData\Discord\Discord.exe --min
EV_RenderedValue_9,00
Elvi51
ELVI51
277248
C:\Windows\System32\svchost.exe
EV_RenderedValue_14,00

из uVS видим что Discord.exe запускается через задачу:

Полное имя C:\PROGRAMDATA\DISCORD\DISCORD.EXE

SHA1 397F3E0FD803DA50EC667C1161E57CDC242400C3
MD5 07D8343249A56EEBF2B1A8B944C217A3

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\DISCORDCHECK_4.JOB
Значение "C:\ProgramData\Discord\Discord.exe" --min

---

4.11.5

---

o Добавлена поддержка отслеживания процессов.
Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также достоверно определять все файлы, которые запускались с момента старта системы.

Полное имя C:\PROGRAMDATA\SLACK\SLACK.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]

Создан 08.03.2021 в 09:52:29
Изменен 08.03.2021 в 11:17:11

Доп. информация на момент обновления списка
pid = 13816 *****\****
Процесс создан 11:17:35 [2021.03.08]
Процесс завершен 11:18:28 [2021.03.08]
parentid = 1684 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1 9C44709D620DF76174B6E268DADA1256FA3BA007
MD5 C7988D4AE969D11D9ABBAFC8CE0C5CA2

pid = 1684 NT AUTHORITY\СИСТЕМА
CmdLine C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule
Процесс создан 11:16:52 [2021.03.08]
+

---

4.11.6

---

o Добавлена поддержка отслеживания задач.
В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы:
"Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса,
pid и имя запустившего процесс, а так же XML описание задачи при его наличии.
Твики #39/#40 теперь включают/отключают отслеживание процессов и задач.
(!) Только для Windows 10 билд 1903 и выше.

подробнее по данному майнеру в отчете на securelist.ru
https://securelist.ru/ad-blocker-with-miner-included/100732/