DirtyMoe-Malware
Der kometenhafte Anstieg der Popularität, angetrieben durch die noch beeindruckenderen Wertsteigerungen mehrerer verschiedener Kryptowährungen, rückte den bisherigen Nischensektor ins Rampenlicht der Öffentlichkeit. Auch Bedrohungsakteure bemerkten den Trend und verlagerten ihre Aktivitäten schnell auf Missbrauch. Zahlreiche Botnets und Malware-Tools wurden entweder erstellt oder mit Krypto-Mining-Funktionen ausgestattet. Die Bedrohungsakteure können dann die Ressourcen von Tausenden von kompromittierten Systemen kapern und sie verwenden, um Coins einer bestimmten Kryptowährung zu minen. Eines der neuesten und ausgereiftesten Malware-Tools dieser Art ist die DirtyMoe-Malware. Bisher wurde die Bedrohung gegen Ziele in Russland genutzt, aber auch in europäischen und asiatischen Ländern wurden Opfer entdeckt. Laut infosec-Forschern sind derzeit fast hunderttausend mit DirtyMoe infizierte Maschinen aktiv.
Die ersten Versionen von DirtyMoe wurden von infosec-Forschern unter dem Namen NuggetPhantom verfolgt und waren oft instabil und wurden leicht von Cybersicherheitsprodukten abgefangen. Seitdem hat sich die Malware jedoch erheblich weiterentwickelt und ist heute eine schwer fassbare, modulare Bedrohung, die mehrere Anti-Erkennungs- und Anti-Analyse-Techniken aufweist.
Die Angriffskette von DirtyMoe beginnt damit, dass die Hacker nach Opfern suchen, die anfällig für mehrere Exploits sind. Eine davon ist die berüchtigte Schwachstelle EternalBlue (CVE-2017-0144), die 2017 auftauchte, aber anscheinend gibt es noch genug ungesicherte Systeme, um es Bedrohungsakteuren lohnenswert zu machen, sie bei ihren schädlichen Operationen weiter zu missbrauchen. Ein weiterer von DirtyMoe favorisierter Exploit ist die Scripting Engine Memory Corruption Vulnerability (CVE-2020-0674), die im Internet Explorer gefunden wurde. Opfer werden durch Phishing-E-Mails mit unsicheren URLs angelockt.
Modularer Aufbau
Das Hauptmerkmal der DirtyMoe-Malware ist ihre Modularität. Die Hauptkomponente ist DirtyMoe Core. Es ist verantwortlich für das Herunterladen, Aktualisieren, Verschlüsseln, Erstellen von Backups und den Schutz der DirtyMoe-Bedrohung. Der Core hat auch die Aufgabe, dem DirtyMoe Executioner einen beschädigten Code zuzuführen, der ihn dann, wie der Name schon sagt, ausführen wird. Der eingefügte Code heißt entweder MOE-Objekt oder -Modul und wird vom Command-and-Control-Server der Operation abgerufen.
Das spezifische Verhalten der Malware-Bedrohung kann weiter an die Ziele der Bedrohungsakteure angepasst werden. Die Cyberkriminellen können DirtyMoe befehlen, eine verschlüsselte Nutzlast herunterzuladen, die die gewünschte Funktionalität trägt, und sie dann in sich selbst einzuschleusen. In wenigen Stunden können Tausende von Instanzen von DirtyMoe auf diese Weise geändert werden. Tatsächlich kann DirtyMoe verwendet werden, um DDoS-Angriffe zu starten, Krypto-Mining-Aktivitäten durchzuführen oder zusätzliche bedrohliche Nutzlasten wie Datensammler, Ransomware, Trojaner und mehr zu liefern.
Starke Versteck- und Selbstverteidigungsfähigkeiten
DirtyMoe verwendet VMProtect, um seinen wichtigsten bedrohlichen Kern zu schützen. Es verwendet auch einen Windows-Treiber, der mehrere Funktionen aufweist, die normalerweise in Rootkits zu finden sind, wie z. B. Dienst, Registrierungseintrag und Treiberverstecken. Der Treiber kann außerdem angewiesen werden, bestimmte Dateien auf dem Systemvolume des infizierten Computers zu verbergen oder beliebige DLLs in neu erstellte Prozesse einzuschleusen. Die Netzwerkkommunikation wird auch durch eine wirksame Technik erreicht. Die Bedrohung trägt eine Reihe von hartcodierten DNS-Servern, die sie verwendet, um eine DNS-Anfrage an eine hartcodierte Domäne zu senden. Für die endgültige IP-Adresse und den Port verwendet DirtyMoe jedoch eine andere Reihenfolge von DNS-Anfragen. Infolgedessen wird DirtyMoe resistent gegen die Sperrung seiner endgültigen IP. Es ist auch praktisch unrealistisch, DNS-Anfragen an DNS-Server wie Google, Cloudflare und ähnliche Dienste zu blockieren.
