Falsches MSI Afterburner-Portal zielt auf Windows-Spieler ab, um Krypto zu minen

Ein gefälschtes MSI Afterburner-Downloadportal, das Windows-Power-User und Windows-Spieler anvisiert, indem es mit Kryptowährungsminern und der RedLine-Informationsdiebstahl-Malware infiziert wird, laut einem neuen Bericht von Forschern bei Cyble.

Zunächst einmal ist MSI Afterburner eine GPU-Funktion, die es Benutzern ermöglicht, Übertaktung zu konfigurieren, Videos aufzunehmen, Lüfterprofile zu erstellen und die Auslastung ihrer installierten Grafikkarte und CPU zu überwachen.

Nun, diese Funktion kann von Benutzern mit fast jeder Grafikkarte verwendet werden, was sie für Millionen von Benutzern auf der ganzen Welt nutzbar macht, die dann ihre Einstellungen gemäß ihren Anforderungen anpassen, d.h. um eine niedrigere Temperatur zu erreichen, die Spielleistung zu verbessern und mehr.

All diese Dinge machen dieses Tool zu einem guten Ziel für Angreifer, die Windows-Power-User oder Gamer anvisieren, die leistungsstarke GPUs verwenden, die sie übernehmen können, um Kryptowährung zu minen.

Laut Cyble sind in den letzten drei Monaten mehr als 50 Websites im Internet erschienen, die die offizielle MSI Afterburn-Website nachahmen und XMR-Miner zusammen mit der Informationsdiebstahl-Malware verbreiten.

Lesen: AXLocker-Gruppe von Ransomware stiehlt die Discord-Konten infizierter Benutzer

Zusätzlich verwendete die Kampagne identische Domainnamen, um Benutzer zu täuschen und sie glauben zu lassen, dass sie die legitime MSI Afterburn-Website sind, was einfacher zu bewerben ist, indem man Black SEO verwendet. Dies sind einige der von Cyble identifizierten Domains.

• msi-afterburner–download.site
• msi-afterburner-download.site
• msi-afterburner-download.tech.
• msi-afterburner-download.online
• msi-afterburner-download.store
• msi-afterburner-download.ru
• msi-afterburner.download
• mslafterburners.com
• msi-afterburnerr.com

Darüber hinaus verwendeten in anderen Fällen die Domains nicht die MSI-Marke und wurden möglicherweise über Nachrichten, Social-Media-Beiträge und Foren beworben.

• git.git.skblxin.matrizauto.net
• git.git.git.skblxin.matrizauto.net
• git.git.git.git.skblxin.matrizauto.net
• git.git.git.git.git.skblxin.matrizauto.net

Wenn die gefälschte MSI Afterburner-Setup-Datei (MSIAfterburnerSetup.msi) ausgeführt wird, wird die gültige Datei installiert. Der Installer wird jedoch stillschweigend die RedLine-Informationsdiebstahl-Malware und auch den XMR-Miner auf dem infizierten Gerät ablegen und ausführen.

Der XMR-Miner wird dann über eine 64-Bit-Python-executable namens “browser_assistant.exe” im Verzeichnis der lokalen Programmdateien installiert, die einen Shell-Prozess im vom Installer erstellten Prozess einfügt.

Der Shell-Code ruft den XMR-Miner aus dem GitHub-Archiv ab und injiziert ihn dann direkt in den Speicher des explorer.exe-Prozesses, und da die XMR-Miner nie mit der Festplatte interagieren, sind die Chancen, dass sie von Sicherheitsprodukten erkannt werden, ziemlich gering. Danach verbindet sich der XMR-Miner mit dem Mining-Pool, indem er einen fest codierten Benutzernamen und ein Passwort verwendet und dann die grundlegenden Systeminformationen an den Bedrohungsangreifer übermittelt.

Lesen: Phishing-E-Mail-Kit zielt während der Feiertage auf Nordamerikaner ab!

Eine der Funktionen, die der Miner verwendet, ist der “CPU maxed thread”, der auf 20 gesetzt ist, was die meisten CPU-Threads überschreitet, sodass er so eingestellt ist, dass er die gesamte verfügbare Leistung verbraucht. Der XMR-Miner wird erst nach einer Stunde zum Mining aktiviert, und da die CPU im Leerlauf ist, deutet dies darauf hin, dass der kompromittierte PC nicht für ressourcenintensive Aufgaben verwendet wird und möglicherweise unbeaufsichtigt gelassen wurde.

Darüber hinaus verwendet er die Funktion cinit-stealth-targets, die im Wesentlichen eine Option ist, um das Mining zu pausieren und den GPU-Speicher zu leeren, wenn ein bestimmtes Programm, das unter den “Stealth-Zielen” aufgeführt ist, gestartet wird. Dies könnten sehr gut die Programme sein, die dem Opfer helfen, bösartige Prozesse zu identifizieren, d.h. Antivirenprogramme, Hardware-Ressourcen-Viewer und mehr.

In diesem Szenario versucht der Miner, sich vor den Windows-Anwendungen zu verstecken: taskmanager.exe, procexp.exe, Processhacker.exe, perforn.exe und procexp64.exe. Gleichzeitig übernimmt der XMR-Miner stillschweigend Ihre Ressourcen (Monero); die RedLine hatte bereits im Hintergrund Browserdaten, Cookies, Passwörter und jede mögliche Kryptowährungs-Wallet gestohlen.

Leider haben fast alle Komponenten der gefälschten MSI Afterburner-Kampagne eine schlechte Erkennung durch Antiviren-Software, so sehr, dass ein Bericht von VirusTotal erwähnt, dass die Setup-Datei MSIAfterburnerSetup.msi nur von 3 Sicherheitssoftware von 56 erkannt wird, während die browser_assistant.exe nur von 2 von 67 erkannt wird.

Lesen: Mirai RapperBot-Malware greift Online-Spieleserver mit DDoS an