Producent oprogramowania antywirusowego BitDefender odkrył, że usługa OneDrive od Microsoftu jest wykorzystywana przez grupę cyberprzestępców do celów cryptojackingu. Przestępcy modyfikowali bibliotekę DLL i wykorzystywali lukę w zabezpieczenia ładowania usługi OneDrive, tak aby wykorzystywać nasz komputer do kopania kryptowalut.
Według danych od BitDefender, atakujący stosował zainfekowany plik secure32.dll, aby zainfekować system potencjalnej ofiary. Plik ten był umieszczany w lokalizacji %LocalAppData%\Microsoft\OneDrive\, dzięki czemu ładuje się on wraz z własnymi procesem aplikacji OneDrive. Co więcej, aby zapewnić niezawodność cryptojackingu, usługa OneDrive została tak zainfekowana, aby proces OneDrive.exe uruchamiał się przy każdym ponownym włączeniu komputera. Szczegółowe wyjaśnienie od BitDefendera przedstawiamy poniżej:
Atakujący tworzą fałszywy plik secure32.dll i aplikują go do %LocalAppData%\Microsoft\OneDrive\ jako użytkownicy bez podwyższonych uprawnień. Biblioteka ta zostaje załadowana przez jeden z procesów OneDrive (OneDrive.exe lub OneDriveStandaloneUpdater.exe).
Osoby atakujące używają jednego z plików DLL usługi OneDrive, aby łatwo zachować niezawodność infekcji, ponieważ %LocalAppData%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe jest domyślnie uruchamiany przy rozruchu komputera.
Aby niezawodność była jeszcze większa, droppery fałszywego pliku secure32.dll ustawiają również plik %LocalAppData%\ Microsoft\OneDrive\OneDrive.exe tak, aby uruchamiał się przy każdym ponownym uruchomieniu komputera za pomocą rejestru systemu Windows.
Po załadowaniu jednego z procesów OneDrive, fałszywy plik secure32.dll pobiera oprogramowanie do kopania kryptowalut typu open source i wstrzykuje je do legalnych procesów systemu Windows.
W raporcie BitDefendera możemy znaleźć rekomendację, mówiącą, aby używać zawsze aktualnej wersji systemu Windows i aplikacji OneDrive. Unikajmy pobierania oprogramowania z nieznanych źródeł. Z kolei producent zaleca Microsoftowi, aby wydał stosowną aktualizację zapobiegającą pobocznego ładowania bibliotek DLL przez procesy główne.
341f31d.png)